top of page
搜尋

【Linktech 資安神隊友】Atlassian 2025 年 10 月安全公告

  • 作家相片: Linktech
    Linktech
  • 24小时前
  • 讀畢需時 4 分鐘

Atlassian 2025 年 10月安全公告摘要

在 2025 年 10月 21日的安全公告中,本安全公告中報告的漏洞包括 14 個已修復的高嚴重性漏洞 在上個月發佈的新產品的新版本中。這些漏洞是通過我們 Atlassian 原廠的 Bug Bounty 計劃,滲透測試過程和第三方掃描找尋出來。

要修復影響您產品的所有漏洞,Linktech 建議您將產品修補到最新版本或以下每個產品的要求修復版本之一。


列出的每個產品的固定版本 截至 2025 年10月 21 日(發佈日期)


╴漏洞影響產品

產品

受影響的版本

修復版本

Bamboo Data Center and Server

  • 11.0.0 to 11.0.4

  • 10.2.0 to 10.2.7 (LTS)

  • 9.6.0 to 9.6.16 (LTS)

  • 11.0.5 to 11.0.7 Data Center Only

  • 10.2.8 to 10.2.9 (LTS) recommended Data Center Only

  • 9.6.17 to 9.6.18 (LTS) Data Center Only

Fisheye/Crucible

  • 4.9.0 to 4.9.2

  • 4.8.14 to 4.8.16

  • 4.9.3 to 4.9.4 recommended

Jira Data Center and Server

  • 11.0.0 to 11.0.1

  • 10.7.1 to 10.7.4

  • 10.6.0 to 10.6.1

  • 10.5.0 to 10.5.1

  • 10.4.0 to 10.4.1

  • 10.3.0 to 10.3.11 (LTS)

  • 10.2.0 to 10.2.1

  • 10.1.1 to 10.1.2

  • 10.0.0 to 10.0.1

  • 9.17.0 to 9.17.5

  • 9.16.0 to 9.16.1

  • 9.15.2

  • 9.14.0 to 9.14.1

  • 9.13.0 to 9.13.1

  • 9.12.0 to 9.12.27 (LTS)

  • 11.1.0 to 11.1.1 Data Center Only

  • 10.3.12 (LTS) recommended Data Center Only

  • 9.12.28 (LTS) recommended

Jira Service Management Data Center and Server

  • 11.0.0 to 11.0.1

  • 10.7.1 to 10.7.4

  • 10.6.0 to 10.6.1

  • 10.5.0 to 10.5.1

  • 10.4.0 to 10.4.1

  • 10.3.0 to 10.3.11 (LTS)

  • 10.2.0 to 10.2.1

  • 10.1.1 to 10.1.2

  • 10.0.0 to 10.0.1

  • 5.17.0 to 5.17.5

  • 5.16.0 to 5.16.1

  • 5.15.2

  • 5.14.0 to 5.14.1

  • 5.13.0 to 5.13.1

  • 5.12.0 to 5.12.27 (LTS)

  • 11.1.0 to 11.1.1 Data Center Only

  • 10.3.12 (LTS) recommended Data Center Only

  • 5.12.28 (LTS)


╴Atlassian Server & Data Center 安全漏洞摘要


近期 Atlassian 公布多項影響 Confluence、Jira、與 Jira Service Management 的高風險漏洞(CVSS 7.5–8.8 高)。若未及時升級至安全版本,可能導致服務阻斷(DoS)或因第三方依賴項漏洞而產生潛在攻擊風險。


  • Bamboo

    • CVE-2025-48989:Bamboo Data Center 和 Server 中 org.apache.tomcat:tomcat-coyote 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 高)


  • Fisheye/Crucible

    • CVE-2025-48976:Crucible Data Center 和 Server 中 commons-fileupload:commons-fileupload 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 高)


  • Jira Software

    • CVE-2025-22167:Jira Software Data Center 和 Server 中的路徑遍歷(Path Traversal,任意寫入)漏洞。(CVSS 8.7 高)

    • CVE-2025-58057:Jira Software Data Center 中 io.netty:netty-codec-http 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 高)

    • CVE-2025-58056:Jira Software Data Center 中 io.netty:netty-codec-http 依賴項的 HTTP 請求走私(HTTP Request Smuggling)漏洞。(CVSS 8.7 高)

    • CVE-2025-48989:Jira Software Data Center 和 Server 中 org.apache.tomcat:tomcat-coyote 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 高)

    • CVE-2025-7962:Jira Software Data Center 中 org.eclipse.angus:angus-mail / org.eclipse.angus:smtp 依賴項的 SMTP 注入漏洞。(CVSS 7.5 高)

    • CVE-2025-7962:Jira Software Data Center 中 com.sun.mail:jakarta.mail 依賴項的 SMTP 注入漏洞。(CVSS 7.5 高)


  • Jira Service Management

    • CVE-2025-22167:Jira Service Management Data Center 和 Server 中的路徑遍歷(Path Traversal,任意寫入)漏洞。(CVSS 8.7 高)

    • CVE-2025-58057:Jira Service Management Data Center 中 io.netty:netty-codec-http 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 高)

    • CVE-2025-58056:Jira Service Management Data Center 中 io.netty:netty-codec-http 依賴項的 HTTP 請求走私(HTTP Request Smuggling)漏洞。(CVSS 8.7 高)

    • CVE-2025-48989:Jira Service Management Data Center 與 Server 使用的 org.apache.tomcat:tomcat-coyote 相依套件中發現 DoS(Denial of Service)漏洞。(CVSS 7.5 高)

    • CVE-2025-7962:Jira Service Management Data Center 使用的 com.sun.mail:jakarta.mail 相依套件中發現 SMTP Injection 漏洞。(CVSS 7.5 高)

    • CVE-2025-7962:Jira Service Management Data Center 使用的 org.eclipse.angus:angus-mail / org.eclipse.angus:smtp 相依套件中發現 SMTP Injection 漏洞。(CVSS 7.5 高)


╴Atlassian 的應對措施

雖然這些漏洞被評估為對 Atlassian 產品風險較低,但仍建議用戶參照上方資訊,保持其產品的最新版本,以確保獲得最新的安全修復和改進,未列於上方的版本,可能是因為該版本已經非屬於LTS版本,建議還是要升級版本至當前建議的修復版本。


╴Atlassian Cloud 影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。


╴總結

若貴司當前的 Atlassian 環境(如 Jira Software、Fisheye、Bamboo),落在公告所涵蓋的漏洞範圍內,可能導致:

  • 系統資料外洩或權限被濫用

  • 升級過程中功能異常或資料流失

  • 長期運行效能降低與維護成本增加


Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援

  • 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。

  • 安全強化:針對 Atlassian 產品提供修補建議與最佳安全設定。

  • 專業升級服務:確保 Atlassian Data Center 系列產品升級後功能正常、資料完整不流失。

  • 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。


若您的 Atlassian 環境正受此次公告影響,建議立即:

  1. 確認漏洞範圍

  2. 評估升級需求

  3. 與 Linktech 專業團隊聯繫


Linktech 專業顧問 將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫 Linktech,獲取完整安全升級方案。


Linktech 團隊洽詢方式:

留言

bottom of page