Se han descubierto vulnerabilidades de severidad crítica y alta en productos Atlassian. Un actor malicioso podría lograr la ejecución remota de código, escalada de privilegios, divulgación de información o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- Bamboo Data Center and Server: versiones 10.2.9, 11.0.7 a 11.0.8 y 12.0.1 a 12.0.2.
- Confluence Data Center and Server: versiones 7.19.20 a 7.19.30, 8.5.7 a 8.5.31, 9.2.0 a 9.2.13, 10.2.0 a 10.2.2, 8.8.1, 8.9.0 a 8.9.8, 9.0.1 a 9.0.3, 9.1.0 a 9.1.1, 9.3.1 a 9.3.2, 9.4.0 a 9.4.1, 9.5.1 a 9.5.4, 10.0.2 a 10.0.3 y 10.1.0 a 10.1.2.
- Crowd Data Center and Server: versiones 5.0.11, 5.1.13, 5.3.1 a 5.3.8, 6.0.0 a 6.0.10, 6.1.0 a 6.1.7, 6.2.0 a 6.2.6, 6.3.0 a 6.3.4, 7.0.0 a 7.0.2 y 7.1.0 a 7.1.3.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-66516: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de Entidad Externa XML en los módulos de Apache Tika. Un actor malicioso local podría realizar una inyección XXE mediante el uso de archivos XFA diseñados específicamente dentro de un PDF, permitiendo el acceso a información confidencial y el compromiso del sistema.
CVE-2025-9287: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en la biblioteca cipher-base. Un actor malicioso remoto podría realizar la manipulación de datos de entrada en entornos donde se utilice este componente para operaciones criptográficas, afectando la integridad de los datos procesados.
CVE-2025-9288: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en la biblioteca sha.js. Un actor malicioso remoto podría manipular los datos de entrada, comprometiendo la integridad de los sistemas que dependen de esta biblioteca.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias