概要
Atlassianは2026年4月21日、同社の主要製品群に影響するセキュリティ情報を公開した。今回の情報では、31件の高深刻度脆弱性と7件の重大なサードパーティ依存関係の脆弱性が含まれており、合計38件の脆弱性に対処している。対象製品はBamboo、Bitbucket、Confluence、Jira、Jira Service Managementの5製品で、データセンター版とサーバー版の双方が影響を受ける。これらの脆弱性はバグバウンティプログラム、ペネトレーションテスト、サードパーティライブラリのスキャンを通じて発見されたと説明されている。
特に深刻な脆弱性
今回最も注目すべき脆弱性の一つが CVE-2024-47875(dompurify)で、CVSSスコア 10.0(Critical) と最高評価を受けた。これはミューテーション型クロスサイトスクリプティング(mXSS)と呼ばれる攻撃手法を悪用するもので、入力のサニタイズ処理を巧みに回避する。次いで深刻なのが CVE-2022-1471(SnakeYAML)で、CVSSスコア9.8のリモートコード実行(RCE)の脆弱性だ。さらに Bamboo 固有の CVE-2026-21571 は、CVSSスコア9.4のOSコマンドインジェクションを可能にする。
脆弱性の種別を見ると、リモートコード実行(RCE)、サービス拒否(DoS)、クロスサイトスクリプティング(XSS)、パストラバーサル、OSコマンドインジェクションなど多岐にわたる。Nettyやaxiosなどの広く使われているサードパーティライブラリを経由した脆弱性も含まれており、依存関係の管理が依然として課題であることを示している。なお、Atlassian自身が「実際のリスク評価はスコアより低い場合がある」と注記しているものも一部含まれる。
影響を受けるバージョンと推奨対応
各製品の影響バージョン範囲と修正済み推奨バージョン(LTS)は以下の通りだ。
| 製品 | 影響バージョン範囲 | 推奨パッチバージョン |
|---|---|---|
| Bamboo Data Center/Server | 9.6.2〜12.1.3 | 12.1.6 LTS |
| Confluence Data Center/Server | 8.9.1〜10.2.7 | 10.2.10 LTS |
| Jira Data Center/Server | 9.12.8〜11.3.3 | 11.3.4 LTS |
| Jira Service Management | 5.15.2〜11.3.3 | 11.3.4 LTS |
| Bitbucket Data Center/Server | 9.4.12〜10.1.5 | 10.2.0〜10.2.2 LTS |
Atlassianはすべての脆弱性について「最新バージョンまたは修正済みバージョンへのパッチ適用」を強く推奨している。サポート対象外のバージョンを使用している場合はアップグレードが必須となる。各CVEの詳細は同社のVulnerability Disclosure Portalから検索・確認できる。今後もAtlassian製品を運用する組織は、セキュリティ情報の定期的な確認とパッチ管理の徹底が求められる。