Atlassian-Sicherheitsupdates: Bamboo und Confluence sind verwundbar

Um zu verhindern, dass Angreifer mehrere Sicherheitslücken in Atlassian Bamboo Data Center and Server, Confluence Data Center and Server sowie Crowd Data Center und Server ausnutzen, sollten Admins die nun verfügbaren Patches umgehend installieren.

Verschiedene Gefahren

Wie Atlassian im Sicherheitsbereich seiner Website auflistet, gelten drei Sicherheitslücken in den Komponenten Apache Tika (CVE-2025-66516), sha.js (CVE-2025-9288) und cipher-base (CVE-2025-9287) als „kritisch“. Sind Attacken an diesen Stellen erfolgreich, können Angreifer Daten manipulieren. Dafür muss ein Opfer in einem Fall aber eine präparierte PDF-Datei öffnen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Nach erfolgreichen Attacken auf die verbleibenden Lücken können Angreifer unter anderem Dienste zum Absturz bringen (Denial of Service, DoS; etwa CVE-2022-25883 „hoch“) und somit lahmlegen oder sogar aus der Ferne Schadcode ausführen (CVE-2025-48734 „hoch“). Die folgenden Ausgaben sind gegen die geschilderten Attacken gerüstet:

• Bamboo Data Center and Server 12.1.2 (LTS) recommended Data Center Only, 10.2.14 to 10.2.15 (LTS) Data Center Only
• Confluence Data Center and Server 9.2.14 (LTS) Data Center Only, 9.2.15 recommended (LTS) Data Center Only, 10.2.3 (LTS) Data Center Only, 10.2.6 (LTS) recommended Data Center Only,
• Crowd Data Center and Server 7.1.4 recommended Data Center Only

(des)