Atlassian發布12月資安公告,表示過去一個月針對旗下資料中心與伺服器自託管產品更新版本,累計修補37項高嚴重度漏洞,與9項關鍵嚴重度的第三方元件漏洞。Atlassian建議用戶將系統升級至最新版,或至少升到公告所列已修補版本,以消除受影響的相依套件風險。
在本次公告列出的多項漏洞中,CVSS 10分的Apache Tika XXE弱點CVE-2025-66516最受關注。Atlassian在Bamboo、Confluence、Jira Software、Jira Service Management等條目列出此CVE,並同樣出現在Crowd與Fisheye/Crucible的條目中。Atlassian也提醒,這屬第三方相依套件弱點,依其評估在自家產品的實際使用情境下風險較低,但仍已隨新版納入修補。
Apache Tika是常見的內容分析與中繼資料抽取工具,企業系統常用於後端自動解析使用者上傳或批次匯入的文件。依NVD描述,CVE-2025-66516屬於透過PDF內特製XFA內容,觸發XML外部實體(XML External Entity,XXE)漏洞的問題。當後端解析流程處理到該檔案時,攻擊者可能藉此讀取敏感資料,或觸發對內部資源或第三方伺服器的非預期請求,風險包含資訊外洩與伺服器端請求偽造(Server-Side Request Forgery,SSRF)。
Atlassian列出各產品CVE-2025-66516修補版本,Bamboo在12.0.2、10.2.12 LTS與9.6.20 LTS後完成修補,Confluence則對應10.2.1 LTS、9.2.12與8.5.30 LTS,Jira Software與Jira Service Management建議升級至11.3.0 LTS或10.3.15 LTS等已修補版本。Atlassian同時強調,資安公告所揭露的CVE已評估對客戶屬非關鍵風險,要是出現需要立即處置的漏洞,會改以關鍵資安通報另行發布。
除了Apache Tika之外,Atlassian也在同一份公告列出多項影響面較廣的修補,例如Confluence修補了SSRF漏洞CVE-2024-29415,並處理loader-utils相關的原型污染風險CVE-2022-37601。Jira與Jira Service Management除了列入CVE-2025-66516,也在同一份公告中列出XXE相關的CVE-2025-54988,以及axios相依套件的SSRF風險CVE-2025-27152。Bitbucket方面,Atlassian指出已在新版本修補一項第三方相依套件的阻斷服務漏洞CVE-2024-7254。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15