CERTFR-2026-AVI-0065_Multiples vulnérabilités dans les produits Atlassian
AVIS CERT
CERT-FR
Publié le 21 janvier 2026 à 18h59
Objet
Multiples vulnérabilités dans les produits Atlassian
Référence
CERTFR-2026-AVI-0065
Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Confluence Data Center versions 10.x antérieures à 10.2.2
- Confluence Data Center versions 9.x antérieures à 9.2.13
- Confluence Data Center versions antérieures à 8.5.31
- Confluence Server versions 9.x antérieures à 9.2.13
- Confluence Server versions antérieures à 8.5.31
- Jira Service Management Data Center versions 10.x antérieures à 10.3.16
- Jira Service Management Data Center versions 11.3.x antérieures à 11.3.1
- Jira Service Management Data Center versions 11.x antérieures à 11.2.1
- Jira Service Management Data Center versions antérieures à 5.12.29
- Jira Service Management Server versions 10.x antérieures à 10.3.16
- Jira Service Management Server versions 11.3.x antérieures à 11.3.0
- Jira Service Management Server versions 11.x antérieures à 11.2.1
- Jira Service Management Server versions antérieures à 5.12.29
- Jira Software Data Center versions 10.x antérieures à 10.3.16
- Jira Software Data Center versions 11.2.x antérieures à 11.2.1
- Jira Software Data Center versions 11.3.x antérieures à 11.3.0
- Jira Software Data Center versions antérieures à 9.12.26
- Jira Software Server versions 10.x antérieures à 10.3.16
- Jira Software Server versions 11.2.x antérieures à 11.2.1
- Jira Software Server versions 11.3.x antérieures à 11.3.0
- Jira Software Server versions antérieures à 9.12.26
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Atlassian. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Atlassian CONFSERVER-101827 du 20 janvier 2026
- Bulletin de sécurité Atlassian CONFSERVER-101842 du 20 janvier 2026
- Bulletin de sécurité Atlassian CONFSERVER-101872 du 20 janvier 2026
- Bulletin de sécurité Atlassian CONFSERVER-101878 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16459 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16465 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16485 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16491 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16496 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16497 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16499 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16501 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16502 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSDSERVER-16503 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26654 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26656 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26661 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26662 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26663 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26665 du 20 janvier 2026
- Bulletin de sécurité Atlassian JSWSERVER-26667 du 20 janvier 2026
- CVE-2021-3807
- CVE-2022-25883
- CVE-2022-45693
- CVE-2024-21538
- CVE-2024-45296
- CVE-2024-45801
- CVE-2025-15284
- CVE-2025-49146
- CVE-2025-52434
- CVE-2025-53689
- CVE-2025-54988
- CVE-2025-66516
- CVE-2025-9287
- CVE-2025-9288