Atlassian、前月のアップデートで脆弱性のべ34件に対処
Atlassianは現地時間2026年1月20日、前月2025年12月にリリースしたセキュリティ更新で複数製品に関するのべ34件の脆弱性に対処したことを明らかにした。
「Bamboo」「Bitbucket」「Confluence」「Crowd」「Jira」「Jira Service Management」向けにアップデートを提供し、依存関係にあるサードパーティ製ソフトの脆弱性などを中心にあわせて34件の修正を実施したもの。重複を除くとCVEベースで25件の脆弱性に対処している。
重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は2件だった。
具体的には、「Confluence」におけるXML外部実体参照(XXE)の脆弱性「CVE-2025-66516」や「Bamboo」における競合状態の脆弱性「CVE-2025-12383」へ対応している。
共通脆弱性評価システム「CVSSv3.1」においてベーススコアはそれぞれ「10.0」「9.4」と評価されているが、同社の依存関係においては影響が低いと説明している。
また重要度が2番目に高い「高(High)」とされる脆弱性32件を修正した。アドバイザリでは30件との記載もあるが、実際は32件が公表されている。今回のアドバイザリで言及された脆弱性は以下のとおり。
CVE-2021-3807
CVE-2022-25883
CVE-2022-45693
CVE-2024-21538
CVE-2024-38286
CVE-2024-45296
CVE-2024-45801
CVE-2025-9287
CVE-2025-9288
CVE-2025-12383
CVE-2025-15284
CVE-2025-27152
CVE-2025-41249
CVE-2025-48976
CVE-2025-48989
CVE-2025-49146
CVE-2025-52434
CVE-2025-52999
CVE-2025-53689
CVE-2025-54988
CVE-2025-55163
CVE-2025-55752
CVE-2025-64775
CVE-2025-66516
CVE-2026-21569
(Security NEXT - 2026/01/27 )
ツイート
PR
関連記事
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開
米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起
「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
全文検索エンジン「Apache Solr」に複数の脆弱性
GitLab、重要度「High」3件含むセキュリティ更新をリリース
