Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Boletín de seguridad de diciembre de 2025 de Atlassian

Fecha12/12/2025
Importancia5 - Crítica
Recursos Afectados
  • Bamboo Data Center and Server
  • Bitbucket Data Center and Server
  • Confluence Data Center and Server
  • Crowd Data Center and Server
  • Fisheye/Crucible
  • Jira Data Center and Server
  • Jira Service Management Data Center and Server

Se recomienda revisar el aviso oficial enlazado en referencias para obtener más información sobre las versiones afectadas.

Descripción

Atlassian ha publicado 33 vulnerabilidades, de las cuales 22 son de severidad alta y 3 son de severidad crítica con dependencias de terceros.

Solución

Se recomienda actualizar a la última versión disponible reflejada en el aviso oficial.

Detalle

Las vulnerabilidades críticas son:

  • CVE-2025-66516: Un XXE crítico en los módulos tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) y tika-parsers (1.13-1.28.5) de Apache Tika en todas las plataformas permite a un atacante inyectar una entidad externa XML mediante un archivo XFA manipulado dentro de un PDF.
  • CVE-2022-37601: vulnerabilidad de contaminación del prototipo en la función parseQuery en parseQuery.js en webpack loader-utils a través de la variable de nombre en parseQuery.js.
  • CVE-2021-39227: afecta a la popular biblioteca de visualización de datos Apache ECharts, que utiliza y exporta estos dos métodos directamente. La página de avisos de seguridad de GitHub para esta vulnerabilidad contiene una prueba de concepto.

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.