Flere sårbarheder i diverse Atlassian produkter

Eskil Sørensen

08.22.2025 10:36

De fleste stammer fra tredjepartsafhængigheder.

Der er observeret flere sårbarheder i diverse Atlassian-produkter. De fleste af de fundne sårbarheder stammer fra "Third-Party dependencies". Særligt skal fremhæves en "Security Misconfiguration"-sårbarhed i Bitbucket Data Center and Server.

Sårbarheden har id’et EUVD-2025-18118 /CVE-2025-49146 og en CVSS-score på 8,2. EPSS-scoren er sat til 0,03 pct.

De berørte systemer er

BitBucket Data Center and Server 9.2.0 til 9.2.1
BitBucket Data Center and Server 9.3.0 til 9.3.2
BitBucket Data Center and Server 9.4.0 til 9.4.8(LTS)
BitBucket Data Center and Server 9.5.0 til 9.5.2
BitBucket Data Center and Server 9.6.0 til 9.6.4

Sårbarheden i BitBucket Data Center and Server kan give en uautoriseret aktør muligheden for at eksponere aktiver i et miljø, der er sårbart overfor udnyttelse. Udnyttelse kræver ingen brugerinteraktion.

Udover denne sårbarhed er der konstateret yderligere 13 sårbarheder, der ligger spændet mellem 7,5 og 9.4. Den med højeste CVSS-score findes i en ekstern komponent, som Crowd Data Center and Server benytter, og ikke i Atlassians egen kode. Men fordi Atlassian kun bruger komponenten på en enkelt side i Crowd-brugerfladen, som kræver administratorrettigheder, vurderes risikoen som lavere. Derfor har Atlassian valgt at offentliggøre sårbarheden via deres månedlige sikkerhedsbulletin og ikke som en separat kritisk sikkerhedsadvarsel.

Det anbefales at undersøge Atlassian-produkter og opdatere sårbare installationer med det samme, jvf. producentens anvisninger.

Læs mere

https://confluence.atlassian.com/security/security-bulletin-august-19-2025-1621491738.html

Sårbarhed