Sårbarheder i Atlassian- og GitLab-produkter
Der er fundet og rettet sårbarheder i en række produkter fra Atlassian og GitLab.
Det skriver Security Week.
Særlig opmærksomhed er der ved sårbarhederne i Atlassian Confluence & Jira. De ligger i spændet på CVSS-skalaen mellem 7,2 og 7,5 og har id’erne CVE-2024-47072, CVE-2025-31650, CVE-2025-24970 og CVE-2025-22157.
Sårbarhederne er blevet identificeret i tredjepartsafhængigheder, der bruges af Atlassian-produkter. En udnyttelse kan gøre det muligt for en ondsindet aktør, at forårsage Denial of Service (DoS) tilstande eller hæve deres privilegier på et sårbart Atlassian-system.
De berørte produkter er hhv.
- Atlassian Bamboo Data Center and Server
- Atlassian Confluence Data Center and Server
- Atlassian Fisheye/Crucible
- Atlassian Jira Data Center and Server
- Atlassian Jira Service Management Data Center and Server
Udtømning af ressourcer
Der er også fundet en kritisk sårbarhed i GitLab CE/EE, som kan føre til, at en autoriseret, ondsindet aktør kan skabe en Denial of Service (DoS) tilstand på en sårbar enhed. Det kan ske ved at udtømme serverressourcer på et berørt system.
Sårbarheden har id’et CVE-2025-0993 / EUVD-2025-16148 og en score på 7,5.
De berørte systemer er alle versioner af GitLab Community Edition (CE) & GitLab Enterprise Edition (EE) før 17.10.7, 17.11.3, og 18.0.1.
I hverken Atlassian eller GitLab-produkterne er der rapporteret om aktiv udnyttelse.
Læs mere
- https://www.securityweek.com/gitlab-atlassian-patch-high-severity-vulnerabilities/
- https://confluence.atlassian.com/security/security-bulletin-may-20-2025-1561365992.html
- https://about.gitlab.com/releases/2025/05/21/patch-release-gitlab-18-0-1-released/#unprotected-large-blob-endpoint-in-gitlab-allows-denial-of-service