Boletín de seguridad de diciembre de 2025 de Atlassian
Fecha de publicación 12/12/2025
Identificador
INCIBE-2025-0709
Importancia
5 - Crítica
Recursos Afectados
- Bamboo Data Center and Server
- Bitbucket Data Center and Server
- Confluence Data Center and Server
- Crowd Data Center and Server
- Fisheye/Crucible
- Jira Data Center and Server
- Jira Service Management Data Center and Server
Se recomienda revisar el aviso oficial enlazado en referencias para obtener más información sobre las versiones afectadas.
Descripción
Atlassian ha publicado 33 vulnerabilidades, de las cuales 22 son de severidad alta y 3 son de severidad crítica con dependencias de terceros.
Solución
Se recomienda actualizar a la última versión disponible reflejada en el aviso oficial.
Detalle
Las vulnerabilidades críticas son:
- CVE-2025-66516: Un XXE crítico en los módulos tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) de Apache Tika en todas las plataformas permite a un atacante inyectar una entidad externa XML mediante un archivo XFA manipulado dentro de un PDF.
- CVE-2022-37601: vulnerabilidad de contaminación del prototipo en la función parseQuery en parseQuery.js en webpack loader-utils a través de la variable de nombre en parseQuery.js.
- CVE-2021-39227: afecta a la popular biblioteca de visualización de datos Apache ECharts, que utiliza y exporta estos dos métodos directamente. La página de avisos de seguridad de GitHub para esta vulnerabilidad contiene una prueba de concepto.
El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.
CVE
Listado de referencias
Etiquetas
