Boletín de seguridad de enero de 2026 de Atlassian
Fecha de publicación 21/01/2026
Identificador
INCIBE-2026-044
Importancia
5 - Crítica
Recursos Afectados
- Bamboo Data Center y Server, versiones:
- de 12.0.0 hasta 12.0.1;
- de 11.0.0 hasta 11.0.8;
- de 10.2.0 hasta 10.2.12 (LTS);
- de 10.1.0 hasta 10.1.1;
- de 10.0.0 hasta 10.0.3;
- de 9.6.0 hasta 9.6.20 (LTS).
- Bitbucket Data Center y Server, versiones:
- de 10.0.0 hasta 10.0.2;
- de 9.6.0 hasta 9.6.5;
- de 9.5.0 hasta 9.5.2;
- de 9.4.0 hasta 9.4.14 (LTS);
- de 9.3.0 hasta 9.3.2;
- de 9.2.0 hasta 9.2.1;
- de 9.1.0 hasta 9.1.1;
- 9.0.1;
- de 8.19.0 hasta 8.19.25 (LTS);
- de 8.18.0 hasta 8.18.1.
- Confluence Data Center y Server, versiones:
- de 10.2.0 hasta 10.2.1 (LTS);
- de 10.1.0 hasta 10.1.2;
- de 10.0.2 hasta 10.0.3;
- de 9.5.1 hasta 9.5.4;
- de 9.4.0 hasta 9.4.1;
- de 9.3.1 hasta 9.3.2;
- de 9.2.0 hasta 9.2.12 (LTS);
- de 9.1.0 hasta 9.1.1;
- de 9.0.1 hasta 9.0.3;
- de 8.9.0 hasta 8.9.8;
- de 8.8.0 hasta 8.8.1;
- de 8.5.6 hasta 8.5.31 (LTS);
- de 7.19.19 hasta 7.19.30 (LTS).
- Crowd Data Center y Server, versiones:
- de 7.1.0 hasta 7.1.2;
- de 6.3.0 hasta 6.3.3.
- Jira Data Center y Server, versiones:
- 11.2.0 ;
- de 11.1.0 hasta 11.1.1;
- de 11.0.0 hasta 11.0.1;
- de 10.7.1 hasta 10.7.4;
- de 10.6.0 hasta 10.6.1;
- de 10.5.0 hasta 10.5.1;
- de 10.4.0 hasta 10.4.1;
- de 10.3.0 hasta 10.3.15 (LTS);
- de 10.2.0 hasta 10.2.1;
- de 10.1.1 hasta 10.1.2;
- de 10.0.0 hasta 10.0.1;
- de 9.17.0 hasta 9.17.5;
- de 9.16.0 hasta 9.16.1;
- 9.15.2;
- de 9.14.0 hasta 9.14.1;
- de 9.13.0 hasta 9.13.1;
- de 9.12.3 hasta 9.12.25 (LTS).
- Jira Service Management Data Center y Server:
- 11.3.0 (LTS);
- 11.2.0;
- de 11.1.0 hasta 11.1.1;
- de 11.0.0 hasta 11.0.1;
- de 10.7.1 hasta 10.7.4;
- de 10.6.0 hasta 10.6.1;
- de 10.5.0 hasta 10.5.1;
- de 10.4.0 hasta 10.4.1;
- de 10.3.0 hasta 10.3.16 (LTS);
- de 10.2.0 hasta 10.2.1;
- de 10.1.1 hasta 10.1.2;
- de 10.0.0 hasta 10.0.1;
- de 5.17.0 hasta 5.17.5;
- de 5.16.0 hasta 5.16.1;
- 5.15.2;
- de 5.14.0 hasta 5.14.1;
- de 5.13.0 hasta 5.13.1;
- de 5.12.3 hasta 5.12.28 (LTS).
Descripción
Atlassian, en su lanzamiento mensual de parches, ha informado de 34 vulnerabilidades, de las cuales 32 son de severidad alta y 2 son de severidad crítica con dependencias de terceros.
Solución
Las vulnerabilidades han sido resueltas en las siguientes versiones:
- Bamboo Data Center y Server:
- 12.0.2 Data Center Only;
- de 10.2.13 hasta 10.2.14 (LTS), recomendado Data Center Only;
- de 9.6.21 hasta 9.6.22 (LTS) Data Center Only;
- Bitbucket Data Center y Server:
- de 10.1.1 hasta 10.1.4 Data Center Only;
- de 9.4.15 hasta 9.4.16 (LTS), recomendado Data Center Only;
- de 8.19.26 hasta 8.19.27 (LTS) Data Center Only;
- Confluence Data Center y Server:
- 10.2.2 (LTS), recomendado Data Center Only;
- 9.2.13 (LTS) Data Center Only;
- Crowd Data Center y Server:
- 7.1.3, recomendado Data Center Only;
- 6.3.4 Data Center Only;
- Jira Data Center y Server:
- de 11.3.0 hasta 11.3.1 (LTS), recomendado Data Center Only;
- 11.2.1 Data Center Only;
- 10.3.16 (LTS) Data Center Only;
- de 9.12.26 hasta 9.12.31 (LTS);
- Jira Service Management Data Center y Server:
- 11.3.1 (LTS), recomendado Data Center Only;
- 11.2.1 Data Center Only;
- 10.3.16 (LTS) Data Center Only;
- de 5.12.29 hasta 5.12.31 (LTS).
Detalle
Las vulnerabilidades críticas son:
- CVE-2025-66516: XXE en Apache Tika, permite a un atacante realizar una inyección XXE (Entidad Externa XML) a través de un fichero XFA manipulado insertado en un PDF.
- CVE-2025-12383: condición de carrera en Eclipse Jersey puede hacer que se ignoren las configuraciones SSL críticas como la autenticación mutua. Esta vulnerabilidad, bajo ciertas condiciones, puede hacer que se confíe en servidores inseguros.
El resto de vulnerabilidades, cuya severidad no es crítica, pueden consultarse en las referencias.
CVE
Listado de referencias
Etiquetas
