Security Bulletin - Duben 2025

Bezpečnostní upozornění

18. 4. 2025

Společnost Atlassian informuje o 4 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.

I když použití těchto závislostí v Atlassian produktech znamená nižší riziko, doporučuje se aktualizace na opravené verze.

Souhrn zranitelností:

Produkt	Zranitelnost	Nalezeno ve verzích	Opraveno ve verzích
Bamboo Data Center a Server	CVE-2024-57699 · DoS (Denial of Service) v závislosti na komponentě net.minidev:json-smart · CVE ID: CVE-2024-57699 · Závažnost (CVSS): 7.5 Vysoká	10.2.0 až 10.2.2 (LTS) 10.1.0 až 10.1.1 10.0.0 až 10.0.3 9.6.0 až 9.6.10 (LTS)	10.2.3 (LTS) – doporučeno, pouze pro Data Center 9.6.11 až 9.6.12 (LTS) – pouze pro Data Center
Confluence Data Center a Server	CVE-2025-24970 · DoS (Denial of Service) – Dopad na io.netty:netty-handler CVE ID: CVE-2025-24970 CVSS: 7.5 Vysoká CVE-2019-10172 · XXE (XML External Entity Injection) – Dopad na org.codehaus.jackson:jackson-mapper-asl CVE ID: CVE-2019-10172 CVSS: 7.5 Vysoká	9.3.1 až 9.3.2 9.2.0 až 9.2.2 (LTS) 9.1.0 až 9.1.1 9.0.1 až 9.0.3 8.9.0 až 8.9.8 8.8.0 až 8.8.1 8.7.1 až 8.7.2 8.6.0 až 8.6.2 8.5.0 až 8.5.20 (LTS) 8.4.0 až 8.4.5 8.3.0 až 8.3.4 8.2.2 až 8.2.3 7.19.15 až 7.19.30 (LTS)	9.4.0 – pouze pro Data Center 9.2.3 (LTS) – doporučeno, pouze pro Data Center 8.5.21 (LTS)
Jira Data Center a Server	CVE-2021-33813 · XXE (XML External Entity Injection) v Jira Core a Jira Software Server CVE ID: CVE-2021-33813 CVSS: 7.7 Vysoká CVE-2024-57699 · DoS (Denial of Service) – Dopad na net.minidev:json-smart CVE ID: CVE-2024-57699 CVSS: 7.5 Vysoká	10.5.0 10.4.0 až 10.4.1 10.3.0 až 10.3.4 (LTS) 10.2.0 až 10.2.1 10.1.1 až 10.1.2 10.0.0 až 10.0.1 9.17.0 až 9.17.5 9.16.0 až 9.16.1 9.15.2 9.14.0 až 9.14.1 9.13.0 až 9.13.1 9.12.0 až 9.12.19 (LTS)	10.5.1 – pouze pro Data Center 10.3.5 (LTS) – doporučeno, pouze pro Data Center 9.12.22 (LTS)
Jira Service management Data Center a Server	CVE-2021-33813 · XXE (XML External Entity Injection) v Jira Core a Jira Software Server CVE ID: CVE-2021-33813 CVSS: 7.7 Vysoká CVE-2024-57699 · DoS (Denial of Service) – Dopad na net.minidev:json-smart CVE ID: CVE-2024-57699 CVSS: 7.5 Vysoká	10.5.0 10.4.0 až 10.4.1 10.3.0 až 10.3.4 (LTS) 10.2.0 až 10.2.1 10.1.1 až 10.1.2 10.0.0 až 10.0.1 5.17.0 až 5.17.5 5.16.0 až 5.16.1 5.15.2 5.14.0 až 5.14.1 5.13.0 až 5.13.1 5.12.0 až 5.12.19 (LTS)	10.5.1 – pouze pro Data Center 10.3.5 (LTS) – doporučeno, pouze pro Data Center 5.12.22 (LTS)

Důležité poznámky:

Proč můj produkt není v seznamu opravených verzí?

Pravděpodobně používáte nepodporovanou verzi. Doporučujeme přejít na nejnovější nebo LTS verzi.

Jak zjistím nejnovější verze produktů Atlassian?

Podívejte se na portál pro stahování softwaru.

Používám LTS verzi, ale není v opravených verzích. Proč?

Vaše LTS verze možná ještě nebyla aktualizována nebo nebylo možné zpětně opravit chybu. Doporučujeme přejít na nejnovější verzi.

Kde zjistím detaily o konkrétních zranitelnostech?

Na portálu pro zveřejňování zranitelností.

? Doporučení:
Pro minimalizaci bezpečnostních rizik doporučujeme všem zákazníkům co nejdříve provést aktualizaci na nejnovější podporované verze jejich produktů Atlassian.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-april-15-2025-1540723536.html

Detail zranitelností:

CVE-2024-57699 - DoS (Denial of Service) net.minidev:json-smart Dependency in Bamboo Data Center and Server

Popis zranitelnosti

Byla nalezena bezpečnostní zranitelnost v knihovně Netplex Json-smart ve verzích 2.5.0 až 2.5.1. Při zpracování speciálně vytvořeného JSON vstupu, který obsahuje velké množství znaků {, může dojít k vyčerpání zásobníku (stack exhaustion).

Tato situace může útočníkovi umožnit způsobit odmítnutí služby (Denial of Service – DoS). Problém vzniká v důsledku neúplné opravy předchozí zranitelnosti CVE-2023-1370.

Klasifikace zranitelnosti

Typ zranitelnosti (CWE-ID): CWE-674 – Nekontrolovaná rekurze (Uncontrolled Recursion)
Dotčený komponent: Json-smart parser
Dotčené verze: 2.5.0 a 2.5.1
Příčina: Nedostatečná validace vstupu a neúplné řešení předchozí chyby

Hodnocení CVSS

CVSS 4.0 (NVD): Hodnocení zatím nebylo zveřejněno
Poznámka: V době zveřejnění nebylo CVSS skóre NVD k dispozici. Přesnější klasifikace rizika bude k dispozici po oficiálním ohodnocení.

Doporučení

Nepoužívejte verze 2.5.0 a 2.5.1 knihovny Json-smart ve vaší aplikaci.
Pokud je knihovna Json-smart součástí vašeho softwaru (např. přes transitive dependency), doporučujeme:

Zkontrolovat závislosti ve vašem projektu (např. pomocí mvn dependency:tree nebo npm ls)
Aktualizovat na bezpečnou verzi ihned, jakmile bude dostupná oprava

V prostředích s vysokými nároky na dostupnost aplikací doporučujeme zranitelnost aktivně sledovat a omezit zpracování neověřených JSON vstupů.

URL zdroje

CVE-2025-24970 - DoS (Denial of Service) io.netty:netty-handler Dependency in Confluence Data Center and Server

Popis zranitelnosti

Framework Netty, určený pro asynchronní a událostmi řízené síťové aplikace, obsahuje zranitelnost, která se objevuje od verze 4.1.91.Final a přetrvává až do (ale nevčetně) verze 4.1.118.Final.

Zranitelnost spočívá v tom, že komponenta SslHandler nedokáže ve všech případech správně zpracovat speciálně vytvořený paket. To může vést k pádu aplikace na úrovni nativního kódu (např. JVM crash). Tato chyba byla opravena ve verzi 4.1.118.Final.

Jako dočasné řešení lze buď zakázat používání nativního SSLEngine, nebo upravit aplikační kód manuálně.

Klasifikace zranitelnosti

Typ zranitelnosti (CWE-ID): CWE-20 – Nedostatečná validace vstupu (Improper Input Validation)
Dotčený komponent: SslHandler v rámci Netty
Dotčené verze: od 4.1.91.Final do 4.1.117.Final včetně
Opravená verze: 4.1.118.Final

Hodnocení CVSS

Základní skóre (CNA - GitHub): 7.5 – Vysoká závažnost (HIGH)
Vektor útoku:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
(Síťový přístup, nízká složitost útoku, bez nutnosti autentizace, žádný uživatelský zásah, vysoký dopad na dostupnost)
Poznámka: NVD zatím neposkytl své vlastní hodnocení CVSS.

Doporučení

Aktualizujte Netty na verzi 4.1.118.Final nebo vyšší, která obsahuje opravu zranitelnosti.
Pokud aktualizace není možná, vypněte používání nativního SSLEngine jako přechodné řešení.
V prostředí s vysokými požadavky na dostupnost doporučujeme aplikovat opravu co nejdříve, protože chyba může vést ke kritickému výpadku služby.
Projděte dokumentaci a kód, kde je Netty implementováno, a ověřte, zda je SslHandler používán s nativním SSLEngine.

URL zdroje

CVE-2019-10172 - XXE (XML External Entity Injection) org.codehaus.jackson:jackson-mapper-asl Dependency in Confluence Data Center and Server

Popis zranitelnosti

Byla nalezena chyba v knihovnách org.codehaus.jackson:jackson-mapper-asl verze 1.9.x. Zranitelnost spočívá v možnosti zneužití XML External Entity (XXE), podobně jako u zranitelnosti CVE-2016-3720. Tato chyba ovlivňuje jiné třídy v rámci knihovny Codehaus Jackson.

Klasifikace zranitelnosti

Zranitelnost spadá do kategorie CWE-611: Nesprávné zpracování externích entit v XML. Tato chyba může vést k narušení integrity systému prostřednictvím neautorizované manipulace s daty, pokud je knihovna použita k parsování nedůvěryhodného XML vstupu.

Hodnocení CVSS

Zranitelnost má podle různých zdrojů odlišné hodnocení závažnosti:

NVD (NIST) hodnocení:

CVSS skóre: 7.5 (Vysoké)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CNA (Red Hat) hodnocení:

CVSS skóre: 5.9 (Střední)
Vektor: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Rozdíl v hodnocení je způsoben odlišným pohledem na složitost útoku.

Doporučení

Nepoužívejte knihovnu jackson-mapper-asl verze 1.9.x ve svých projektech, zejména pokud je XML vstup přijímán od nedůvěryhodných zdrojů.
Pokud tuto knihovnu musíte použít, zajistěte, aby byly externí entity v XML parseru výslovně zakázány.
Zvažte přechod na modernější verzi knihoven Jackson, které jsou nadále aktivně udržovány (např. com.fasterxml.jackson).
Sledujte bezpečnostní aktualizace a konzultujte dokumentaci použité platformy nebo frameworku, pokud tuto knihovnu využívá.

Odkazy na zdroje

Níže jsou uvedeny odkazy na další informace, opravy a diskuse:

CVE-2021-33813 - XXE (XML External Entity Injection) in Jira Core Data Center and Server and Jira Software Server

Popis zranitelnosti

V knihovně JDOM až do verze 2.0.6 byla identifikována zranitelnost typu XXE (XML External Entity) v komponentě SAXBuilder. Tato chyba umožňuje útočníkům způsobit odmítnutí služby (DoS) prostřednictvím speciálně upraveného HTTP požadavku. XXE zranitelnosti vznikají, pokud aplikace nesprávně zpracovává externí entity v XML datech, což může vést k vyčerpání systémových prostředků nebo zpřístupnění citlivých údajů.

Klasifikace zranitelnosti

Typ zranitelnosti (CWE-ID): CWE-611 – Nedostatečné omezení odkazů na externí entity v XML (Improper Restriction of XML External Entity Reference)
Dotčený komponent: SAXBuilder ve frameworku JDOM
Zasažené verze: JDOM do verze 2.0.6 včetně
Další dotčené produkty:

Apache Solr (verze 8.8.1, 8.9)
Apache Tika (verze 1.25)
Debian 9
Fedora 35
Oracle Communications Messaging Server 8.1

Hodnocení CVSS

Základní skóre (Base Score): 7.5 – Vysoká závažnost (HIGH)
Vektor útoku:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
(Síťový přístup, nízká složitost útoku, bez nutnosti autentizace, žádný dopad na důvěrnost a integritu, vysoký dopad na dostupnost)

Doporučení

Aktualizujte JDOM na verzi novější než 2.0.6, kde byla zranitelnost odstraněna.
Zamezte zpracování externích XML entit, pokud to není nutné.
Zkontrolujte aplikace, které používají JDOM nebo z něj vycházejí (např. Solr, Tika), a ujistěte se, že používají opravené verze.
Monitorujte síťový provoz a logy aplikací pro případné známky zneužití zranitelnosti.
Sledujte bezpečnostní bulletin daného dodavatele softwaru a aplikujte patche ihned po jejich uvolnění.