このページでは、アトラシアン製品とアドオンので確認されたセキュリティ上の脆弱性が、アトラシアン社のセキュリティレベルの「Critical」 と判別されたものについて情報提供をします。
詳細は製品名をクリックしてください。
| リリース日 | 製品名 | サマリー | レベル |
|---|---|---|---|
| 2024/01/16 | Confluence Data Center/Server RCE 脆弱性 | Critical | |
| 2023/12/07 |
Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む) Bitbucket Data Center / Server Confluence Cloud Migration アプリ (CCMA) Confluence Data Center / Server Jira Core Data Center / Server |
Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 | Critical |
| 2023/12/07 | Confluence Data Center/Server RCE 脆弱性 | Critical | |
| 2023/12/07 | Atlassian Companion App for MacOS の RCE 脆弱性 | Critical | |
| 2023/12/07 | Assets Discovery アプリ RCE 脆弱性 | Critical | |
| 2023/11/24 | Alfresco 製品 セキュリティ脆弱性 | Important | |
| 2023/11/10 | Bamboo Data Center/Server : Apache ActiveMQ のRCE 脆弱性の影響を受けた脆弱性 | Critical | |
| 2023/11/06 | Confluence Data Center および Server における不適切な認証の脆弱性 | Critical | |
| 2023/10/18 |
Jira Service Management Data Center |
重大な外部実体参照 (XXE) を利用した脆弱性 | Critical |
| 2023/02/16 | 複数の製品におけるGitのバッファオーバーフロー | Critical | |
| 2023/02/01 | JSMにおける認証の破損の脆弱性 | Critical | |
| 2022/11/16 | 重大な深刻度のコマンドインジェクションの脆弱性 | Critical | |
| 2022/11/16 | 重大なセキュリティ設定ミスの脆弱性 | Critical | |
| 2022/08/25 | 重大な深刻度であるコマンドインジェクションの脆弱性 | Critical | |
| 2022/07/21 |
Bitbucket ServerおよびData Center |
複数の製品のサーブレットフィルターのディスパッチャーの脆弱性 | Critical |
| 2022/07/21 |
※Confluence Cloud用のQuestions for Confluenceアプリは影響を受けません。
|
Questions for Confluenceによって作成された、ハードコードされた資格情報を持つConfluenceアカウント | Critical |
| 2022/06/30 | CJira Data CenterおよびJira Server用のMobile Pluginにおける、完全な読み取り権を持つサーバー側のリクエストフォージェリが可能な脆弱性 | Critical | |
| 2022/06/03 | Confluence Server / Data Center 製品に 認証不要でリモートコード実行(RCE)脆弱性 | Critical | |
| 2022/04/21 |
Insight - Asset Management及びMobile Plugin for Jiraをインストールしている以下の製品 |
Web認証フレームワークであるJira Seraph における認証のバイパスができる脆弱性 | Critical |
| 2022/03/25 | リモートコード実行に関するHazelcastの脆弱性 | Critical | |
| 2021/11/05 |
Bitbucket Server / Data Center Confluence Server / Jira Service Management Server / |
Unicode の双方向オーバーライド文字がレンダリングされない | High |
| 2021/10/21 | Jira Service Management / Data Center |
Jira Service Management / Data Center インスタンス および Insight Asset Management アプリを導入した環境で、リモートコードを実行できる脆弱性が存在します。 ※ Jira Service Management Cloud 製品は今回の脆弱性の影響は受けません。 |
Critical |
| 2021/08/25 | Conflence Server / Data Center | 任意のコードを実行できる、OGNLインジェクションの脆弱性 | Critical |
| 2021/07/21 | Ehcache RMIの認証回避 - CVE-2020-36239 | Critical | |
| 2021/04/07 | Bamboo | GitLFSを悪用してリモートからコード実行可能な脆弱性 | Critical |
| 2021/03/25 | Sourcetree | GitLFSを悪用してリモートからコード実行可能な脆弱性 | Critical |
| 2020/09/02 | Sourcetree | 悪意あるURL入力によりGit認証情報が漏洩する可能性 | Critical |
| 2020/01/15 | Bitbucket / DataCenter | リモートからコード実行可能な複数の脆弱性 | Critical |
| 2019/12/18 | Confluence Server and Data Center | Atlassian Companion への 中間者攻撃 | Critical |
| 2019/11/06 | Jira Sevice Desk Server / DataCenter | 認証回避およびパス・トラバーサルによる情報漏洩 | Critical |
| 2019/09/18 | Jira Server / DataCenter | Jira Importers Plugin にテンプレート・インジェクションの脆弱性 | Critical |
| 2019/09/18 | Jira Sevice Desk Server / DataCenter | URLパス・トラバーサルによる情報開示 | Critical |
| 2019/09/18 | Bitbucket / DataCenter | Gitコマンドへの引数インジェクションが可能な脆弱性 | Critical |
| 2019/08/28 | Confluence Server / DataCenter | エクスポート経由でローカルファイルを公開 | Critical |
| 2019/07/10 | Jira Server、Data Center | 複数リソースにテンプレート・インジェクション可能な脆弱性 | Critical |
| 2019/06/05 | Sourcetree | Sourcetree for Windows にリモートからコード実行可能な脆弱性 | Critical |
| 2019/05/22 | Crowd, Crowd Data Center | 開発用のpdkinstall-pluginが不適切に有効化されている | Critical |
| 2019/05/22 | Bitbucket Data Center | Data Center移行ツールのパス・トラバーサルの脆弱性 | Critical |
| 2019/04/17 | Confluence Server, Data Center | 添付ファイルのダウンロードにパス・トラバーサルの脆弱性 | Critical |
| 2019/03/20 | Confluence Server, DataCenter | WebDAVとWidgetコネクタの脆弱性 | Critical |
| 2019/03/06 | Sourcetree | Sourcetree - リモートからコード実行が可能な複数の脆弱性 | Critical |
| 2018/10/31 | Sourcetree | Mercurialリポ経由でGit subrepoを利用したリモートからコード実行可能な脆弱性 | Critical |
| 2018/07/18 | Sourcetree | リモートコード実行の脆弱性 | Critical |
| 2018/03/28 | Bamboo | Windows環境でMercurialリポジトリのURI処理に引数インジェクションが可能 | Critical |
| 2018/03/28 | Fisheye and Crucible | Windows環境でMercurialリポジトリのURI処理に引数インジェクションが可能 | Critical |
| 2018/03/21 | Bitbucket | Browser Editor経由でリモートからコード実行 | Critical |
| 2018/01/31 | Fisheye and Crucible | OGNLの多重評価によるリモートからのコード実行 | Critical |
| 2018/01/24 | Sourcetree | 複数の脆弱性を修正 CVE-2017-14592, CVE-2017-14593, CVE-2017-17458 | Critical |
| 2017/12/13 | Bamboo | OGNLの多重評価によるリモートからのコード実行、Mercurialリポにおける引数インジェクション攻撃 | Critical |
| 2017/11/29 | Fisheye,Crucible | Mercurialリポを通して引数インジェクションが可能 | Critical |
| 2017/11/22 | HipChat Server,HipChat Data Center | リモートからSSRF経由でのコード実行 | Critical |
| 2017/11/22 | HipChat for Mac desktop client | Videoコールのリンク解析によるリモートからのコード実行 | Critical |
| 2017/10/11 | Bamboo | BambooのYAML解析処理にリモートからコード実行可能な脆弱性 | Critical |
| 2017/08/11 | SourceTree | VCSツール経由でリモートからコード実行可能な脆弱性 | Critical |
| 2017/06/14 | Bamboo | デプロイメントプロジェクトに対する編集権限のチェックが不適切 | Critical |
| 2017/05/10 | SourceTree | URI処理におけるコマンドインジェクションの脆弱性 | Critical |
| 2017/04/19 | Confluence | 認証前のユーザーがコンテンツを参照できてしまう | Critical |
| 2017/04/12 | HipChat Server | HipChat Server にインポートを悪用してリモートから任意のコードを実行される脆弱性 | Critical |
| 2017/03/10 | Bamboo | Bamboo に任意のコードが実行可能な脆弱性 | Critical |
| 2017/03/10 | Crowd server | Crowd Serverに任意のコードが実行可能な脆弱性 | Critical |
| 2017/03/09 | JIRA Server | 匿名ユーザーにより、リモートからコード実行、非公開情報の公開、サービス拒否などの攻撃を受ける可能性があります。 | Critical |
| 2016/10/19 | Crowd | Crowd LDAPディレクトリコネクタにより、攻撃者が悪意のある属性をLDAPエントリに入力することで、Crowdでリモートコードを実行できるようになる脆弱性 | Critical |
| 2016/09/21 | JIRA | HipChat for JIRAプラグインが、HipChatサービスと通信するために使用する秘密キーをリークしてしまう脆弱性。この脆弱性は、JIRAとHipChatが連携している場合に発生します。 | Critical |
| 2016/09/21 | Confluence | HipChat for Confluenceプラグインが、HipChatサービスと通信するために使用する秘密キーをリークしてしまう脆弱性。この脆弱性は、ConfluenceとHipChatが連携している場合に発生します。 | Critical |
| 2016/09/21 | Bitbucket | HipChat for Bitbucketプラグインが、HipChatサービスと通信するために使用する秘密キーをリークしてしまう脆弱性。この脆弱性は、BitbucketとHipChatが連携している場合に発生します。 | Critical |
| 2016/05/09 | HipChat Server | ImageMagickの脆弱性 | Critical |
| 2016/03/09 | Dataplane | JIRAプロセス権限を使ってリモートでコードが実行される脆弱性 | Critical |
| 2016/01/20 | Bamboo | 任意のJavaコードが実行される脆弱性 未認証のユーザーが構成情報を取得して、変更できる脆弱性 |
Critical |
| 2015/10/21 | Bamboo | 任意のJavaコードが実行される脆弱性 | Critical |
| 2015/01/21 | 任意のJavaコードが実行される脆弱性 | Critical | |
| 2014/05/21 | Apache Strutsと同じClassLoderの脆弱性 | Critical | |
| FishEye/Crucible | 管理者パスワードをリセットできる脆弱性 | Critical | |
| 2014/02/26 | ユーザー権限昇格 | Critical | |
| 2014/02/26 | JIRA | パストラバーサル2件(Windows only) 権限昇格 |
Critical |
| 2013/08/05 | Confluence | Javaコードを実行できるXWorkの脆弱性 | Critical |
| 2013/07/16 | FishEye and Crucible | サードパーティのフレームワークの脆弱性 - Struts2 / WebWork2 | Critical |
| 2013/07/16 | Crowd | サードパーティのフレームワークの脆弱性 - Struts2 / WebWork2 | Critical |
| 2013/07/16 | Bamboo | サードパーティのフレームワークの脆弱性 - Struts2 / WebWork2 | Critical |
| 2013/07/01 | Crowd |
XML解析の脆弱性 ※現在アトラシアンが詳細を調査中です。詳細が分かり次第お伝えします。 |
調査中 |
| 2013/02/21 | JIRA | SOAP APIの脆弱性 | Critical |
| 2012/08/28 | Bamboo | OGNL インジェクションの脆弱性 | Critical |
| 2012/08/28 | JIRA | 権限昇格の脆弱性 | Critical |
| 2012/05/17 | Confluence | XML解析の脆弱性 | Critical |
| 2012/05/17 | Bamboo | XML解析の脆弱性 | Critical |
| 2012/05/17 | FishEye and Crucible | XML解析の脆弱性 | Critical |
| 2012/05/17 | Crowd | XML解析の脆弱性 | Critical |
| 2012/05/17 | JIRA | XML解析の脆弱性 | High |
| 2010/04/16 | JIRA | XSS脆弱性について | Critical |