Společnost Atlassian informuje o 13 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.

I když použití těchto závislostí v Atlassian produktech znamená nižší riziko, doporučuje se aktualizace na opravené verze.

Souhrn zranitelností:

Produkt	Dotčené verze	Opravená verze	Shrnutí zranitelnosti	CVE ID	CVSS Závažnost
Bamboo Data Center a Server	10.2.0–10.2.1 (LTS), 10.1.0–10.1.1, 10.0.0–10.0.3, 9.6.0–9.6.10 (LTS), 9.5.0–9.5.4	10.2.2 (LTS) – doporučeno, pouze pro Data Center, 9.6.11 (LTS) – pouze Data Center	DoS (Denial of Service) – dopad na io.netty:netty-handler	CVE-2025-24970	7.5 High
Bitbucket Data Center a Server	9.5.0, 9.4.0–9.4.2 (LTS), 8.19.0–8.19.14 (LTS), 8.18.0–8.18.1, 8.17.0–8.17.2, 8.16.0–8.16.4, 8.15.0–8.15.5, 8.14.0–8.14.6, 8.13.0–8.13.6, 8.12.0–8.12.6, 8.11.0–8.11.6, 8.10.0–8.10.6, 8.9.0–8.9.24 (LTS), 8.8.3–8.8.7, 8.7.3–8.7.5, 8.6.4, 8.5.4	9.5.1–9.5.2 (Data Center), 9.4.3–9.4.4 (LTS) – doporučeno, pouze pro Data Center, 8.19.15–8.19.16 (LTS), 8.9.25–8.9.26 (LTS)	Dopad na knihovnu třetí strany v Bitbucket Data Center	CVE-2024-4367	8.8 High
			Dopad na knihovnu třetí strany v Bitbucket Data Center	CVE-2024-45296	7.5 High
			DoS – dopad na org.bouncycastle:bcprov-jdk18on	CVE-2024-29857	7.5 High
			SQLi (SQL Injection) – dopad na org.postgresql:postgresql	CVE-2022-31197	7.1 High
			Dopad na org.postgresql:postgresql	CVE-2022-21724	7 High
Crowd Data Center a Server	6.2.0–6.2.2	6.2.3 – doporučeno, pouze pro Data Center	DoS – dopad na com.nimbusds:nimbus-jose-jwt	CVE-2023-52428	7.5 High
			DoS – dopad na io.netty:netty-handler	CVE-2025-24970	7.5 High
			DoS – dopad na io.netty:netty-codec-http2	CVE-2023-44487	7.5 High
Jira Data Center a Server	10.4.0–10.4.1, 10.3.0–10.3.3 (LTS), 10.2.0–10.2.1, 10.1.1–10.1.2, 10.0.0–10.0.1, 9.17.0–9.17.5, 9.16.0–9.16.1, 9.15.2, 9.14.0–9.14.1 9.13.0–9.13.1 9.12.0–9.12.18 (LTS), 9.11.0–9.11.3, 9.10.0–9.10.2, 9.9.0–9.9.2, 9.8.0–9.8.2, 9.7.0–9.7.2	10.5.0 (Data Center), 10.3.4 (LTS) – doporučeno, pouze pro Data Center, 9.12.19 (LTS)	Path Traversal (neoprávněné čtení/zápis) – dopad na org.springframework:spring-webmvc	CVE-2024-38819	7.5 High
			DoS – dopad na com.thoughtworks.xstream:xstream	CVE-2024-47072	7.5 High

Důležité poznámky:

1. Proč můj produkt není v seznamu opravených verzí?

• Pravděpodobně používáte nepodporovanou verzi. Doporučujeme přejít na nejnovější nebo LTS verzi.

2. Jak zjistím nejnovější verze produktů Atlassian?

• Podívejte se na https://www.atlassian.com/software.

3. Používám LTS verzi, ale není v opravených verzích. Proč?

• Vaše LTS verze možná ještě nebyla aktualizována nebo nebylo možné zpětně opravit chybu. Doporučujeme přejít na nejnovější verzi.

4. Kde zjistím detaily o konkrétních zranitelnostech?

• Detail konkrétní zranitelnosti vyhledejte podle čísla zranitelnosti na portálu pro zveřejňování zranitelností.

Doporučení:
Pro minimalizaci bezpečnostních rizik doporučujeme všem zákazníkům co nejdříve provést aktualizaci na nejnovější podporované verze jejich produktů Atlassian.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-march-18-2025-1527943363.html

---

Detail zranitelností:

CVE-2022-21724 org.postgresql:postgresql Dependency in Bitbucket Data Center and Server

Popis zranitelnosti

pgjdbc je oficiální JDBC ovladač pro PostgreSQL. Během bezpečnostního výzkumu byla nalezena kritická zranitelnost v tomto ovladači. Systémy využívající PostgreSQL JDBC knihovnu mohou být napadeny, pokud útočník získá kontrolu nad JDBC URL nebo vlastnostmi připojení.

Ovladač pgjdbc umožňuje instanciaci pluginů na základě tříd zadaných prostřednictvím následujících vlastností připojení:

• authenticationPluginClassName
• sslhostnameverifier
• socketFactory
• sslfactory
• sslpasswordcallback

Problém spočívá v tom, že ovladač neověřoval, zda zadaná třída implementuje očekávané rozhraní, předtím než ji instancioval. To umožňuje spuštění libovolného kódu prostřednictvím podvržených tříd.

Nejsou známy žádné možnosti obejití této zranitelnosti, kromě aktualizace na bezpečnou verzi.

Hodnocení CVSS

Zdroj	CVSS Skóre	Hodnocení	CVSS Vektor
NIST (NVD)	9.8	Kritická	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CNA (GitHub, Inc.)	7.0	Vysoká	CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

? Rozdíl v hodnocení: NVD hodnotí zranitelnost jako kritickou, zatímco GitHub (CNA) ji hodnotí jako vysokou.

Doporučení

✅ Okamžitě aktualizujte PostgreSQL JDBC ovladač na bezpečnou verzi (42.3.2 nebo vyšší).
✅ Zkontrolujte a omezte možnosti úprav JDBC URL a připojovacích vlastností, aby útočník nemohl manipulovat s konfigurací.
✅ Pokud používáte PostgreSQL ve Fedoře nebo Debianu, sledujte bezpečnostní doporučení distribuce a aplikujte opravy.
✅ Prověřte konfiguraci aplikací a ovladačů, zda nevyužívají zranitelné verze.

URL zdroje

?Oprava: Patch na GitHubu

?Bezpečnostní varování GitHubu: GHSA-v7wg-cpwc-24m4

?Debian Security Advisory: DSA-5196

?NetApp Security Advisory: ntap-20220311-0005

?Fedora Security Advisory: Oznámení

---

CVE-2022-31197 - SQLi (SQL Injection) org.postgresql:postgresql Dependency in Bitbucket Data Center and Server

Popis zranitelnosti

PostgreSQL JDBC Driver (PgJDBC) umožňuje aplikacím v jazyce Java připojení k databázi PostgreSQL pomocí standardního, na databázi nezávislého kódu.

V implementaci metody java.sql.ResultRow.refreshRow() nebylo správně ošetřeno escapování názvů sloupců, což znamená, že pokud sloupec obsahuje škodlivý název obsahující například ukončovací znak příkazu ;, může dojít k SQL injekci.

To může vést ke spuštění dodatečných SQL příkazů s oprávněními uživatele připojeného prostřednictvím JDBC. Aplikace, které metodu ResultSet.refreshRow() nepoužívají, nejsou tímto problémem ovlivněny. Aplikace, které tuto metodu používají, mohou být zranitelné v případě, že útočník má kontrolu nad databázovou tabulkou, jejíž názvy sloupců obsahují škodlivý SQL kód.

Útok vyžaduje, aby útočník přiměl uživatele k provedení SQL dotazu proti tabulce s útočným názvem sloupce a následně zavolal metodu refreshRow().

Důležité je, že uživatel připojený přes JDBC nemusí být stejný jako vlastník schématu. Pokud aplikace používá vysoce privilegovaného uživatele k dotazování schémat spravovaných méně privilegovanými uživateli, může útočník vytvořit škodlivé schéma, které umožní spustit příkazy jako privilegovaný uživatel.

Opravené verze budou 42.2.26 a 42.4.1. Uživatelům je doporučeno okamžitě aktualizovat. Nejsou známy žádné způsoby, jak tuto zranitelnost obejít bez aktualizace.

Hodnocení CVSS

? Rozdíl v hodnocení: NVD hodnotí zranitelnost vyšším skóre (8.0) oproti GitHubu (7.1).

Doporučení

✅ Okamžitě aktualizujte PostgreSQL JDBC ovladač na verzi 42.2.26 nebo 42.4.1.

✅ Omezte oprávnění uživatele připojeného přes JDBC, aby měl přístup pouze k nezbytným databázovým schématům.

✅ Nepoužívejte vysoce privilegované uživatele pro dotazování schémat spravovaných méně privilegovanými uživateli.

✅ Zkontrolujte, zda vaše aplikace používá metodu ResultSet.refreshRow(), a pokud ano, proveďte bezpečnostní audit.

URL zdroje

? Oprava: Patch na GitHubu

? Bezpečnostní varování GitHubu: GHSA-r38f-c4h4-hqq2

? Debian Security Advisory: Oznámení

? Fedora Security Advisory: Oznámení 1
? Fedora Security Advisory: Oznámení 2

Doporučuje se provést okamžitou aktualizaci a přizpůsobit oprávnění databázových uživatelů, aby se minimalizovalo riziko útoku. 

---

CVE-2023-44487 - DoS (Denial of Service) io.netty:netty-codec-http2 Dependency in Crowd Data Center and Server

Popis zranitelnosti

Protokol HTTP/2 umožňuje odmítnutí služby (DoS) prostřednictvím nadměrné spotřeby serverových prostředků. Konkrétně dochází k rychlému resetování velkého množství streamů v důsledku zrušení požadavků.

Tato zranitelnost byla aktivně zneužívána v období srpen–říjen 2023, kdy útočníci využívali tento mechanismus k přetížení serverů a jejich následnému vyřazení z provozu.

Hodnocení CVSS

? Útok nevyžaduje autentizaci a může být proveden vzdáleně, což zvyšuje jeho nebezpečnost.

Doporučení

✅ Aktualizujte své HTTP/2 implementace, pokud byly vydány opravy.

✅ Monitorujte a omezujte počet resetovaných streamů na serverech, abyste snížili dopad útoku.

✅ Používejte ochranná opatření na úrovni WAF (Web Application Firewall) a nastavte limity pro požadavky HTTP/2.

✅ Sledujte bezpečnostní doporučení dodavatele vašeho webového serveru, jako jsou Apache, Nginx nebo Cloudflare.

URL zdroje

? NVD – Detail zranitelnosti: Odkaz na databázi NVD

? CISA – Bezpečnostní varování: Odkaz na CISA

? Další relevantní zdroje: Oficiální dokumentace dodavatelů webových serverů (Apache, Nginx, Cloudflare)

Doporučujeme co nejdříve implementovat bezpečnostní opatření, protože zranitelnost byla aktivně zneužívána. ?

---

CVE-2023-52428 - DoS (Denial of Service) com.nimbusds:nimbus-jose-jwt Dependency in Crowd Data Center and Server

Popis zranitelnosti

V knihovně Connect2id Nimbus JOSE+JWT ve verzích před 9.37.2 může útočník způsobit odmítnutí služby (DoS) prostřednictvím nadměrné spotřeby systémových prostředků.

K tomu dochází využitím vysoké hodnoty p2c (iteration count) v hlavičce JWE (JSON Web Encryption) při zpracování dešifrovací komponentou PasswordBasedDecrypter (PBKDF2). Tímto způsobem může útočník vynutit extrémně náročné výpočty, které zatíží serverové prostředky a mohou vést až k jeho nefunkčnosti.

Hodnocení CVSS

? Útok je vzdálený (AV:N) a nevyžaduje žádná oprávnění (PR:N), což jej činí snadno zneužitelným.

Doporučení

✅ Okamžitě aktualizujte knihovnu Nimbus JOSE+JWT na verzi 9.37.2 nebo vyšší.

✅ Zajistěte, aby implementace JWE nepřijímala nerealisticky vysoké hodnoty p2c, například zavedením maximálního povoleného limitu.

✅ Monitorujte vytížení serveru, aby bylo možné rychle detekovat podezřelé chování související s touto zranitelností.

✅ Používejte WAF (Web Application Firewall) nebo jiná bezpečnostní opatření k ochraně před útoky na aplikace využívající JWT.

URL zdroje

? Oficiální oprava (patch): Bitbucket – commit opravy

? Sledování problému: Bitbucket – Issue Tracking

? Produktová stránka: Connect2id Nimbus JOSE+JWT

Doporučujeme co nejrychleji aktualizovat zranitelnou knihovnu, aby se předešlo možnému zneužití této bezpečnostní slabiny. ?

---

CVE-2024-29857 - DoS (Denial of Service) org.bouncycastle:bcprov-jdk18on Dependency in Bitbucket Data Center and Server

Popis zranitelnosti

V knihovně PDF.js chyběl typový test při zpracování fontů, což umožnilo libovolné vykonávání JavaScriptu v kontextu PDF.js. Tato zranitelnost umožňuje vkládání a spuštění škodlivého JavaScriptu v prohlížeči při otevírání PDF dokumentů.

Zranitelnost se týká verzí Firefox < 126, Firefox ESR < 115.11 a Thunderbird < 115.11. Útočník může této zranitelnosti využít k neautorizovanému spuštění kódu na zařízení oběti, což představuje vážné bezpečnostní riziko, pokud je zneužito ve spojení s jinými útoky.

Hodnocení CVSS

⚠ Hodnocení podle NIST (NVD):

• CVSS skóre: 8.8 (Vysoké)
• Vektor útoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  Tato zranitelnost umožňuje významné ohrožení důvěrnosti a integrity dat v případě zneužití, protože útočník může spustit škodlivý kód, který může poškodit nebo kompromitovat systém.

⚠ Hodnocení podle CISA-ADP:

• CVSS skóre: 5.6 (Střední)
• Vektor útoku: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
  Toto skóre je nižší, protože zneužití zranitelnosti vyžaduje určité podmínky, ale stále představuje střední riziko, zejména pro výkon a bezpečnost aplikace.

Doporučení

✅ Aktualizujte Firefox, Firefox ESR a Thunderbird na nejnovější verzi, která opravuje tuto zranitelnost.

✅ Nepoužívejte zastaralé verze prohlížečů, zejména v produkčních prostředích.

✅ Monitorujte bezpečnostní hlášení a sledujte nové aktualizace od Mozilla a dalších dodavatelů, abyste byli informováni o nových opravách.

URL zdroje

? Bezpečnostní oznámení a opravy od Mozilla: CVE-2024-29857 - PDF.js Vulnerability

? Rada k bezpečnostním zranitelnostem pro Firefox a Thunderbird: Bezpečnostní záplaty pro Firefox a Thunderbird

---

CVE-2024-38819 - Path Traversal (Arbitrary Read/Write) org.springframework:spring-webmvc Dependency in Jira Software Data Center and Server

Popis zranitelnosti

Aplikace, které poskytují statické prostředky prostřednictvím webových rámců WebMvc.fn nebo WebFlux.fn, jsou zranitelné vůči útokům path traversal. Útočník může vytvořit škodlivé HTTP požadavky a získat jakýkoli soubor v souborovém systému, který je přístupný procesu, ve kterém běží aplikace Spring. Tento typ útoku může vést k neautorizovanému přístupu k citlivým souborům a datům v systému.

Hodnocení CVSS

⚠ Hodnocení podle VMware (CNA):

• CVSS skóre: 7.5 (Vysoké)
• Vektor útoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Tato zranitelnost představuje riziko, které může umožnit útočníkům přístup k citlivým souborům (C:H) bez autentizace, což může mít závažné důsledky pro bezpečnost aplikace.

Doporučení

✅ Aktualizujte aplikace Spring na nejnovější verzi, která tuto zranitelnost neobsahuje.

✅ Prověřte kód aplikace, zda není vystaven riziku útoku typu path traversal, a zkontrolujte správnou konfiguraci webového rámce WebMvc.fn nebo WebFlux.fn.

✅ Omezte přístup k souborům v systému, které by neměly být přístupné přes webovou aplikaci, aby se minimalizovalo riziko úniku citlivých dat.

URL zdroje

• Bezpečnostní upozornění NetApp
• Bezpečnostní upozornění Spring CVE-2024-38819

---

CVE-2024-4367 - Third-Party Dependency in Bitbucket Data Center

Popis zranitelnosti

Ve verzi PDF.js, která je používána pro zpracování PDF souborů, chyběla kontrola typu při zpracování písem. Tato chyba umožňuje spuštění libovolného JavaScriptu v rámci kontextu PDF.js. Útočník může zneužít tuto zranitelnost k provedení neautorizovaného kódu v prohlížeči, což může mít vážné důsledky pro bezpečnost uživatelů, kteří používají postižené verze Firefoxu a Thunderbirdu.

Zranitelnost se týká verzí Firefox < 126, Firefox ESR < 115.11 a Thunderbird < 115.11.

Hodnocení CVSS

⚠ Hodnocení podle NIST (CVSS 3.x):

• CVSS skóre: 8.8 (Vysoké)
• Vektor útoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Tato zranitelnost může vést k závažným bezpečnostním problémům, včetně spuštění libovolného kódu (C:H) a ztrátě integrita dat (I:H) a dostupnosti (A:H).

Doporučení

✅ Aktualizujte Firefox a Thunderbird na verze, které tuto zranitelnost neobsahují (Firefox ≥ 126, Firefox ESR ≥ 115.11, Thunderbird ≥ 115.11).

✅ Prověřte všechny související aplikace, které využívají PDF.js a ujistěte se, že máte aplikované všechny bezpečnostní záplaty a opravy.

✅ Zabezpečte používání JavaScriptu v prohlížečích a aplikacích, zejména v prostředích, kde se pracuje s neověřenými nebo neznámými PDF soubory.

URL zdroje

• https://nvd.nist.gov/vuln/detail/CVE-2024-4367
• PDF.js GitHub bezpečnostní upozornění
• CISA-ADP

---

CVE-2024-45296 - Third-Party Dependency in Bitbucket Data Center