Atlassian je uveo zakrpe za oko 30 ranjivosti u zavisnostima trećih strana koje utiču na njegove proizvode, uključujući i propuste kritične ozbiljnosti.
Prva bezbjednosna greška koja se izdvaja je CVE-2025-66516 (CVSS ocjena 10/10), ranjivost kritične ozbiljnosti tipa XML External Entity (XXE) injection u Apache Tika.
Ranjivost pogađa module tika-core, tika-pdf-module i tika-parsers univerzalnog parsera, a javno je objavljena početkom decembra.
Može se iskoristiti putem posebno kreiranih XFA fajlova smještenih unutar PDF dokumenata, što potencijalno može dovesti do curenja informacija, uskraćivanja usluge (DoS), SSRF napada ili udaljenog izvršavanja koda (RCE).
Atlassian proizvodi koji koriste Tika uključuju Bamboo, Confluence, Crowd, Fisheye/Crucible, Jira i Jira Service Management. Kompanija je objavila zakrpe za svih šest proizvoda.
Lista problema kritične ozbiljnosti koje je Atlassian riješio ovog mjeseca uključuje i CVE-2022-37601 (CVSS ocjena 9.8), ranjivost tipa prototype pollution u webpack loader-utils biblioteci, koja se koristi u Confluence-u.
Još jedna kritična prototype pollution ranjivost zakrpljena je u Jira-i i Jira Service Management-u. Evidentirana kao CVE-2021-39227 (CVSS ocjena 9.8), utiče na laganu grafičku biblioteku ZRender.
Najnoviji krug zakrpa kompanije Atlassian takođe rješava više od dvadeset ranjivosti visoke ozbiljnosti, uključujući DoS, XXE, SSRF, file inclusion, prototype pollution, neadekvatnu autorizaciju, otkrivanje informacija, nepravilnu validaciju ulaza i RCE propuste.
Softverska ažuriranja koja ispravljaju ove nedostatke objavljena su za Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira i Jira Service Management u data center i server izdanjima.
Pošto su ranjivosti pronađene u zavisnostima trećih strana, one utiču na sve Atlassian proizvode koji se na njih oslanjaju.
Korisnicima se savjetuje da primijene zakrpe što je prije moguće. Dodatne informacije o greškama i njihovim ispravkama dostupne su u Atlassian bezbjednosnom savjetniku za decembar 2025.
Izvor: SecurityWeek
