Atlassian, Mayıs 2025 güvenlik bültenini, veri merkezinde ve sunucu tekliflerinde birden fazla kurumsal ürünü etkileyen sekiz yüksek şiddetli güvenlik açıkına hitap etti.
Atlassian’ın hata ödül programı, penetrasyon testi süreçleri ve üçüncü taraf kütüphane taramalarıyla keşfedilen güvenlik açıkları, hizmet reddi (DOS) saldırıları ve ayrıcalık artışı dahil olmak üzere önemli güvenlik riskleri oluşturmaktadır.
Belirlenen tüm sorunlar, bu ay yayınlanan en son ürün sürümlerinde, 20 Mayıs 2025 itibariyle bülten bilgileri mevcuttur.
.png
)
Sekiz yüksek şiddetli güvenlik açıkından beşi, Atlassian’ın ürün süitine entegre edilmiş üçüncü taraf bağımlılıklarda hizmet reddi zayıflıklarını içerir.
Hem bambu hem de Confluence veri merkezi ve sunucu kurulumları, CVSS şiddet skoru 7.5 taşıyan Apache Tomcat Coyote modülündeki bir güvenlik açığından (CVE-2025-31650) etkilenir.
Confluence, CVSS ölçeğinde 7.5 olarak derecelendirilen Xstream kütüphanesindeki (CVE-2024-47072) bir güvenlik açığı yoluyla ek bir DOS riski ile karşı karşıya.
Fisheye/Crucible kullanıcıları, JSON akıllı bağımlılığında ayrı bir DOS güvenlik açığının (CVE-2024-57699) farkında olmalıdır.
Bu arada, Jira Software ve JIRA hizmet yönetimi platformları, Netty Handler bileşeninde keşfedilen yüksek şiddetli bir güvenlik açığı (CVE-2025-24970) yoluyla potansiyel hizmet kesintisine maruz kalmaktadır.
Bu bağımlılık tabanlı güvenlik açıkları, yazılım tedarik zincirinin kurumsal uygulamalarda artan güvenlik zorluklarını vurgulamaktadır.
Jira ürünlerinde ayrıcalık artış riski
Hizmet reddi tehditlerinin ötesinde, güvenlik bülteni, hem JIRA Core Veri Merkezi hem de JIRA Servis Yönetimi Veri Merkezi kurulumlarını etkileyen özellikle ayrıcalık yükseltme kırılganlığı (CVE-2025-22157) ortaya koymaktadır.
CVSS skoru 7.2 ile, bu güvenlik açığı potansiyel olarak saldırganların etkilenen sistemlerde yetkisiz yüksek izinler kazanmasına izin verebilir.
Ayrıcalık yükseltme sorunu, güvenlik yamalarından önceki en son 10.x sürümleri de dahil olmak üzere her iki ürünün birden fazla sürümünü etkiler.
Atlassian, müşterilerin bu güvenlik risklerini azaltmak için bültende detaylandırılan sabit sürümlere derhal yükseltmeleri gerektiğini vurgulamaktadır.
Bambu için önerilen veri merkezi sürümü 10.2.4 (LTS), Confluence kullanıcıları ise 9.2.4 sürümüne (LTS) güncellenmelidir.
Fisheye/Crucible kurulumları sürüm 4.9.1’e ve JIRA ürünlerini ilgili Veri Merkezi sürümlerine 10.3.5 veya 10.3.6 (LTS) ‘e yükseltilmelidir.
Rapora göre şirket, bu aylık güvenlik bültenlerinin, gerektiğinde aylık programın dışında yayınlanan kritik güvenlik danışmanları olarak yayınlananlardan daha düşük etkiye sahip güvenlik açıklarını kapsadığını belirtiyor.
Görev açısından kritik ortamlarda Atlassian ürünlerini kullanan kuruluşlar, bu güncellemelere düzenli güvenlik bakım prosedürlerinin bir parçası olarak öncelik vermelidir.
Müşteriler CVES’i aramak veya ürün sürümlerinin bilinen güvenlik açıklarından etkilenip etkilendiğini kontrol etmek için güvenlik açığı açıklama portalına erişebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!