Atlassian 2026年4月安全公告：含CVE-2026-1471 RCE等31个高危漏洞

Atlassian 2026年4月21日安全公告总结 漏洞概述 本次安全公告包含 31个高危漏洞 和 7个严重漏洞，涉及多个 Atlassian 产品的依赖组件。所有漏洞均通过第三方库扫描、Bug 赏金计划及渗透测试发现。 影响范围与修复方案 🚨 严重漏洞（Critical） 1. Confluence Data Center and Server CVE-2026-1471: RCE (远程代码执行) - 依赖: - 影响版本: 10.2.0 至 10.2.7 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 2. Jira Data Center and Server CVE-2026-47875: XSS (跨站脚本) - 依赖: - 影响版本: 11.3.0 至 11.3.3 (LTS) - 修复版本: 11.3.4 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 CVE-2022-1471: RCE (远程代码执行) - 依赖: - 影响版本: 10.4.0 至 10.4.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 CVE-2026-25547: DoS (拒绝服务) - 依赖: - 影响版本: 10.0.0 至 10.0.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 3. Jira Service Management Data Center and Server CVE-2026-47875: XSS (跨站脚本) - 依赖: - 影响版本: 11.3.0 至 11.3.3 (LTS) - 修复版本: 11.3.4 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 CVE-2022-1471: RCE (远程代码执行) - 依赖: - 影响版本: 10.6.0 至 10.6.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 CVE-2021-31597: MITM (中间人攻击) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） - 风险说明: 非 Atlassian 依赖，但 Atlassian 应用存在较低非关键评估风险 --- ⚠️ 高危漏洞（High） Bamboo Data Center and Server CVE-2026-33871: DoS (拒绝服务) - 依赖: - 影响版本: 12.1.0 至 12.1.3 (LTS) - 修复版本: 12.1.6 (LTS) CVE-2026-34487: 信息泄露 - 依赖: - 影响版本: 12.0.0 至 12.0.2 - 修复版本: 10.2.18 (LTS)（仅限 Data Center） CVE-2026-33870: HTTP 请求走私 - 依赖: - 影响版本: 11.0.0 至 11.0.8 - 修复版本: 10.2.18 (LTS)（仅限 Data Center） Bitbucket Data Center and Server CVE-2022-25927: DoS (拒绝服务) - 依赖: - 影响版本: 10.1.1 至 10.1.5 - 修复版本: 10.2.0 至 10.2.2 (LTS)（仅限 Data Center） Confluence Data Center and Server CVE-2026-24734: MITM (中间人攻击) - 依赖: - 影响版本: 10.0.0 至 10.0.3 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-25639: DoS (拒绝服务) - 依赖: - 影响版本: 10.1.0 至 10.1.2 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-45801: XSS (跨站脚本) - 依赖: - 影响版本: 9.3.1 至 9.3.4 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-23950: 路径遍历（任意写入） - 依赖: - 影响版本: 9.3.1 至 9.3.2 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-33871: DoS (拒绝服务) - 依赖: - 影响版本: 9.2.0 至 9.2.17 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-29063: 注入不可变 - 依赖: - 影响版本: 9.0.1 至 9.0.3 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-23745: 文件包含 - 依赖: - 影响版本: 8.9.1 至 8.9.8 - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-24842: 文件包含 - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-31802: DOM 基于 XSS (@remix-run/router) - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-66020: DoS (拒绝服务) - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-29371: DoS (拒绝服务) - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-33870: HTTP 请求走私 - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-25639: DoS (拒绝服务) - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2023-46031: DoS (拒绝服务) - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-43801: 注入 dompurify - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） CVE-2026-26960: 文件包含 - 依赖: - 影响版本: 9.1.0 至 9.1.0 (LTS) - 修复版本: 10.2.10 (LTS)（仅限 Data Center） Jira Data Center and Server CVE-2025-48734: 不当授权 - 依赖: - 影响版本: 10.4.0 至 10.4.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2021-0341: MITM (中间人攻击) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2023-1370: DoS (拒绝服务) - 依赖: - 影响版本: 10.1.0 至 10.1.2 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2023-3635: DoS (拒绝服务) - 依赖: - 影响版本: 10.1.0 至 10.1.2 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） Jira Service Management Data Center and Server CVE-2023-48734: 不当授权 - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2023-3635: DoS (拒绝服务) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2021-0341: MITM (中间人攻击) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2026-25547: DoS (拒绝服务) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） CVE-2023-1370: DoS (拒绝服务) - 依赖: - 影响版本: 10.2.0 至 10.2.1 - 修复版本: 10.3.19 (LTS)（仅限 Data Center） --- 修复建议 所有用户：请立即升级到公告中指定的“Fixed Version”版本。 Data Center 用户：部分漏洞仅适用于 Data Center 版本，请确认您的部署类型。 LTS 版本用户：如使用长期支持版本，请检查是否已应用最新补丁；若未更新，建议升级至最新 LTS 版本。 非 Atlassian 依赖漏洞：虽然漏洞源于第三方库，但 Atlassian 应用可能存在较低风险，仍需及时修复。 > 📌 提示：可通过 Vulnerability Disclosure Portal 查询 CVE 或产品版本对应的漏洞详情。 --- 常见问题解答（FAQ） 为何某些 Feature Version 未列出？ 可能因该版本不受支持，需升级至最新或长期支持（LTS）版本。 如何获取最新 Data Center 产品版本？ 请访问软件下载门户或产品特定下载页面。 使用 LTS 版本但未在 Fixed Version 中列出？ LTS 版本可能尚未更新或修补不可行，建议升级至最新版本。详见 Security Bug Fix Policy。 反馈与建议 欢迎在 Community Post 提供反馈。 --- 相关链接 May 2024 Security Bulletin Bug Bounty April 2025 Update Tracking Resolution of Issue Described in FAQ for CVE-2022-22965 Crowd Security Advisory 2019-05-22 Monitor security threats FAQ for CVE-2022-1471 Update Spring Security for CVE-2022-229

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Atlassian 2026年4月安全公告：含CVE-2026-1471 RCE等31个高危漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！