Atlassian 공식 보안 공지 내용을 요약한 페이지 입니다. 자세한 사항은 아래 링크에서 확인하실 수있습니다.
Security Bulletin - January 20 2026 | Atlassian Support | Atlassian Documentation
1. 주요 요약
취약점 개수: 총 32개 (Critical 2개, High 30개)
주요 특징: Atlassian 자체 코드의 결함보다는
Tomcat,Spring,Jackson등 외부 종속성 라이브러리에서 발견된 보안 결함을 패치했습니다.위험도 평가: Atlassian은 월간 게시판에 포함된 CVE들이 실제 제품 환경에서는 즉각적인 Critical 위험보다는 관리 가능한 수준(Non-critical risk)으로 평가하고 있으나, 최신 버전으로의 업데이트를 강력히 권고합니다.
2. 제품별 주요 취약점 및 조치 사항
| 제품군 | 최고 위험도 (CVSS) | 주요 취약점 및 원인 라이브러리 | 수정 버전 (Fixed Versions) |
| Confluence | 10.0 (Critical) | XXE (CVE-2025-66516), MITM (postgresql) | 10.2.2(LTS), 9.2.13(LTS) |
| Bamboo | 9.4 (Critical) | Race Condition (jersey-client), XXE (tika-core) | 12.0.2, 10.2.13(LTS), 9.6.21(LTS) |
| Jira (Software) | 8.7 (High) | DoS (qs, tomcat-coyote), Injection (sha.js) | 11.3.1(LTS), 10.3.16(LTS), 9.12.26(LTS) |
| JSM (Service) | 8.7 (High) | DoS (path-to-regexp, jettison), XSS | 11.3.1(LTS), 10.3.16(LTS), 5.12.29(LTS) |
| Bitbucket | 8.7 (High) | DoS (jackson), RCE (tomcat-embed-core) | 10.1.1, 9.4.15(LTS), 8.19.26(LTS) |
| Crowd | 8.4 (High) | XXE (자체 및 tika-core), DoS (struts2) | 7.1.3, 6.3.4 |
3. 제품군별 상세 내용
① Confluence Data Center & Server
핵심 이슈:
CVE-2025-66516(XXE) 취약점이 Critical 등급으로 보고되었습니다. 또한postgresql라이브러리를 통한 중간자 공격(MITM) 위험이 수정되었습니다.조치: 현재 8.5, 9.2, 10.2 등 다양한 LTS 버전을 사용하는 경우 각 계열의 최신 보안 패치 버전으로 업데이트가 필요합니다.
② Bamboo Data Center & Server
핵심 이슈:
jersey-client의 경합 조건(Race Condition)으로 인한 Critical 취약점이 해결되었으며,axios라이브러리의 SSRF 이슈도 포함되었습니다.
③ Jira 및 Jira Service Management (JSM)
핵심 이슈: 웹 환경에서 흔히 발생하는
qs라이브러리 및Tomcat엔진의 DoS(서비스 거부) 공격 위협이 다수 수정되었습니다.JSM 추가 사항:
path-to-regexp및jettison라이브러리의 보안 결함이 추가로 패치되었습니다.
④ Bitbucket 및 Crowd
Bitbucket:
jackson-core기반 DoS 및tomcat-embed-core에서의 RCE(원격 코드 실행) 위협이 해결되었습니다.Crowd:
apache.tika를 통한 XXE 및struts2관련 DoS 취약점이 패치되었습니다.
4. 관리자 권장 조치
즉시 업데이트: 사용 중인 제품의 버전을 위 표의 Fixed Version 이상으로 패치하십시오. 특히 인터넷에 공개된 인스턴스는 최우선 순위로 조치해야 합니다.
LTS 확인: 안정적인 운영을 위해 가능한 한 권장되는 LTS(Long Term Support) 버전의 최신 패치를 적용하시기 바랍니다.