Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en los productos de Atlassian, entre ellas se encuentran dos de severidad critica. Estas podrían permitir a un actor malicioso remoto acceder a información confidencial, comprometer la integridad y la disponibilidad de los servicios o ejecutar código arbitrario en los sistemas afectados.
Productos afectados
Centro de datos y servidores Bamboo
- 12.1.x, versión 12.1.6 (LTS) y anteriores
- 12.0.x, versión 12.0.2 y anteriores
- 11.0.x, versión 11.0.8 y anteriores
- 10.2.x, versión 10.2.18 (LTS) y anteriores
- 10.1.x, versión 10.1.1 y anteriores
- 10.0.x, versión 10.0.3 y anteriores
- 9.6.x, versión 9.6.25 (LTS) y anteriores
Centro de datos y servidor de Bitbucket
- 10.2.x, versión 10.2.1 (LTS) y anteriores
- 10.1.x, versión 10.1.5 y anteriores
- 10.0.x, versión 10.0.2 y anteriores
- 9.6.x, versión 9.6.5 y anteriores
- 9.5.x, versión 9.5.2 y anteriores
- 9.4.x, versión 9.4.18 y anteriores
- 9.3.x, versión 9.3.2 y anteriores
- 9.2.x, versión 9.2.1 y anteriores
- 9.1.x, versión 9.1.1 y anteriores
- 9.0.x, versión 9.0.1 y anteriores
- 8.19.x, versión 8.19.29 (LTS) y anteriores
así como otros productos detallados en el sitio oficial del fabricante en la sección de referencias.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-22732: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad en el componente Spring Security integrado en las plataformas de Atlassian, la cual provoca la omisión silenciosa de encabezados HTTP de seguridad debido a un fallo en el procesamiento de respuestas de servlet. Esto podría permitir a un actor malicioso remoto no autenticado realizar ataques de suplantación, secuestro de clics o acceder a información confidencial almacenada en el caché del navegador.
CVE-2026-29145: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad crítica de omisión de autenticación en Apache Tomcat y Apache Tomcat Native (servidor web interno embebido en los productos Atlassian) debido a la falta de comprobaciones suficientes de revocación de certificados vía OCSP. Esto podría permitir a un actor malicioso remoto no autenticado evadir por completo las validaciones de identidad y acceder a recursos protegidos utilizando un certificado de cliente que ya ha sido revocado.
CVE-2026-22029: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de redirección abierta en React Router. Esta ocurre al generar URL inseguras durante las redirecciones de navegación en aplicaciones de página única bajo ciertos modos de ejecución, lo que podría permitir a un actor malicioso remoto introducir contenido no confiable para ejecutar código JavaScript no deseado en el navegador de la víctima.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias