Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de seguridad de Atlassian: junio de 2026

Fecha de publicación 17/06/2026
Identificador
INCIBE-2026-434
Importancia
5 - Crítica
Recursos Afectados

Bamboo Data Center y Server:

  • 12.1.0 a 12.1.7 (LTS)
  • 12.0.0 a 12.0.2
  • 11.0.0 a 11.0.8
  • 10.2.0 a 10.2.19 (LTS)
  • 10.1.0 a 10.1.1
  • 10.0.0 a 10.0.3

Bitbucket Data Center y Server:

  • 10.3.0
  • 10.2.0 a 10.2.3 (LTS)
  • 10.1.1 a 10.1.5
  • 10.0.0 a 10.0.2
  • 9.6.0 a 9.6.5
  • 9.5.0 a 9.5.2
  • 9.4.0 a 9.4.20 (LTS)
  • 9.3.0 a 9.3.2
  • 9.2.0 a 9.2.1
  • 9.1.0 a 9.1.1
  • 9.0.1

Confluence Data Center y Server:

  • 10.2.0 a 10.2.11 (LTS)
  • 10.1.0 a 10.1.2
  • 10.0.2 a 10.0.3
  • 9.5.1 a 9.5.4
  • 9.4.0 a 9.4.1
  • 9.3.1 a 9.3.2
  • 9.2.0 a 9.2.20 (LTS)
  • 9.1.0 a 9.1.1
  • 9.0.1 a 9.0.3
  • 8.9.4 a 8.9.8
  • 8.5.12 a 8.5.31 (LTS)
  • 7.19.25 a 7.19.30 (LTS)

Crowd Data Center y Server:

  • 7.2.0
  • 7.1.0 a 7.1.5
  • 7.0.0 a 7.0.2
  • 6.3.0 a 6.3.6
  • 6.2.0 a 6.2.6
  • 6.1.0 a 6.1.7
  • 6.0.0 a 6.0.10
  • 5.3.2 a 5.3.8

Fisheye/Crucible:

  • 4.9.0 a 4.9.10

Jira Data Center y Server:

  • 11.3.0 a 11.3.6 (LTS)
  • 11.2.0 a 11.2.1
  • 11.1.0 a 11.1.1
  • 11.0.0 a 11.0.1
  • 10.7.1 a 10.7.4
  • 10.6.0 a 10.6.1
  • 10.5.0 a 10.5.1
  • 10.4.0 a 10.4.1
  • 10.3.0 a 10.3.21 (LTS)
  • 10.2.0 a 10.2.1
  • 10.1.1 a 10.1.2
  • 10.0.0 a 10.0.1
  • 9.17.0 a 9.17.5
  • 9.12.11 a 9.12.35 (LTS)

Jira Service Management Data Center and Server:

  • 11.3.0 a 11.3.6 (LTS)
  • 11.2.0 a 11.2.1
  • 11.1.0 a 11.1.1
  • 11.0.0 a 11.0.1
  • 10.7.1 a 10.7.4
  • 10.6.0 a 10.6.1
  • 10.5.0 a 10.5.1
  • 10.4.0 a 10.4.1
  • 10.3.0 a 10.3.21 (LTS)
  • 10.2.0 a 10.2.1
  • 10.1.1 a 10.1.2
  • 10.0.0 a 10.0.1
  • 5.17.0 a 5.17.5
Descripción

Atlassian ha publicado su boletín mensual de seguridad en el que se incluyen 76 vulnerabilidades: 24 de severidad crítica y 42 de severidad alta. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante realizar una ejecución remota de código, una denegación de servicio o divulgación de información entre otros.

Solución

Bamboo Data Center y Server:

  • 12.1.8 (LTS) Data Center Only
  • 10.2.20 (LTS) Data Center Only

Bitbucket Data Center y Server:

  • 10.3.1 Data Center Only
  • 10.2.4 (LTS) Data Center Only
  • 9.4.21 (LTS) 

Confluence Data Center y Server:

  • 10.2.13 (LTS)
  • 9.2.21 (LTS) 

Crowd Data Center y Server:

  • 7.2.1 

Fisheye/Crucible:

  • 4.9.11

Jira Data Center y Server:

  • 11.3.7 (LTS) 
    10.3.22 (LTS)

Jira Service Management Data Center and Server:

  • 11.3.7 (LTS)
  • 10.3.22 (LTS)
Detalle

Las vulnerabilidades críticas publicadas en este boletín pertenecen a componentes de terceros. Se trata de vulnerabilidades en una dependencia de Jira Software que no pertenece a Atlassian. La aplicación de esta dependencia por parte de Atlassian presenta un riesgo menor, no crítico, según la evaluación realizada. 

A continuación, se detallan las vulnerabilidades de severidad alta que afectan a Atlassian:

  • CVE-2026-41044: RCE (Remote Code Execution) en org.apache.activemq:activemq-broker.
  • CVE-2026-44492: SSRF (Server-Side Request Forgery) en axios.
  • CVE-2026-44487: Información divulgada en axios.
  • CVE-2026-44488: DoS (Denial of Service) en axios.
  • CVE-2026-42585: HTTP Request Smuggling en io.netty:netty-codec-http.
  • CVE-2026-42583: DoS (Denial of Service) en io.netty:netty-codec.
  • CVE-2026-44486: Información divulgada en axios.
  • CVE-2026-42038: SSRF (Server-Side Request Forgery) en axios .
  • CVE-2026-41284: DoS (Denial of Service) en org.apache.tomcat:tomcat-catalina.
  • CVE-2026-44496: DoS (Denial of Service) en axios.
  • CVE-2026-42587: DoS (Denial of Service) en io.netty:netty-codec.
  • CVE-2026-43513: Vulnerabilidad de lógica de negocio en org.apache.tomcat:tomcat-catalina.
  • CVE-2026-41044: DoS (Denial of Service) en org.postgresql:postgresql.
  • CVE-2026-42033: Inyección en axios.
  • CVE-2026-42035: Inyección en axios.
  • CVE-2026-42038: SSRF (Server-Side Request Forgery) en axios.
  • CVE-2026-45149: DoS (Denial of Service) en @isaacs/brace-expansion.
  • CVE-2026-41284: DoS (Denial of Service) en org.apache.tomcat.embed:tomcat-embed-core.
  • CVE-2026-41284: (Variante): MITM (Man-in-the-Middle) en org.apache.tomcat.embed:tomcat-embed-core.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-40175 Crítica No Atlassian
CVE-2026-40175 Crítica No Atlassian
CVE-2026-41293 Crítica No Atlassian
CVE-2026-41293 Crítica No Atlassian
CVE-2026-41293 Crítica No Atlassian
CVE-2026-41293 Crítica No Atlassian
CVE-2026-42043 Crítica No Atlassian
CVE-2026-42043 Crítica No Atlassian
CVE-2026-42264 Crítica No Atlassian
CVE-2026-42264 Crítica No Atlassian
CVE-2026-42579 Crítica No Atlassian
CVE-2026-42581 Crítica No Atlassian
CVE-2026-42584 Crítica No Atlassian
CVE-2026-42584 Crítica No Atlassian
CVE-2026-42584 Crítica No Atlassian
CVE-2026-42584 Crítica No Atlassian
CVE-2026-43512 Crítica No Atlassian
CVE-2026-43512 Crítica No Atlassian
CVE-2026-43512 Crítica No Atlassian
CVE-2026-43515 Crítica No Atlassian
CVE-2026-43515 Crítica No Atlassian
CVE-2026-43515 Crítica No Atlassian
CVE-2026-43515 Crítica No Atlassian
Listado de referencias
Security Bulletin - June 16 2026
Etiquetas