Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Boletín de seguridad de enero de 2026 de Atlassian

In Noticias y Avisos CiberseguridadPosted

Boletín de seguridad de enero de 2026 de Atlassian

Aviso
Recursos Afectados
  • Bamboo Data Center y Server, versiones:
    • de 12.0.0 hasta 12.0.1;
    • de 11.0.0 hasta 11.0.8;
    • de 10.2.0 hasta 10.2.12 (LTS);
    • de 10.1.0 hasta 10.1.1;
    • de 10.0.0 hasta 10.0.3;
    • de 9.6.0 hasta 9.6.20 (LTS).
  • Bitbucket Data Center y Server, versiones:
    • de 10.0.0 hasta 10.0.2;
    • de 9.6.0 hasta 9.6.5;
    • de 9.5.0 hasta 9.5.2;
    • de 9.4.0 hasta 9.4.14 (LTS);
    • de 9.3.0 hasta 9.3.2;
    • de 9.2.0 hasta 9.2.1;
    • de 9.1.0 hasta 9.1.1;
    • 9.0.1;
    • de 8.19.0 hasta 8.19.25 (LTS);
    • de 8.18.0 hasta 8.18.1.
  • Confluence Data Center y Server, versiones:
    • de 10.2.0 hasta 10.2.1 (LTS);
    • de 10.1.0 hasta 10.1.2;
    • de 10.0.2 hasta 10.0.3;
    • de 9.5.1 hasta 9.5.4;
    • de 9.4.0 hasta 9.4.1;
    • de 9.3.1 hasta 9.3.2;
    • de 9.2.0 hasta 9.2.12 (LTS);
    • de 9.1.0 hasta 9.1.1;
    • de 9.0.1 hasta 9.0.3;
    • de 8.9.0 hasta 8.9.8;
    • de 8.8.0 hasta 8.8.1;
    • de 8.5.6 hasta 8.5.31 (LTS);
    • de 7.19.19 hasta 7.19.30 (LTS).
  • Crowd Data Center y Server, versiones:
    • de 7.1.0 hasta 7.1.2;
    • de 6.3.0 hasta 6.3.3.
  • Jira Data Center y Server, versiones:
    • 11.2.0 ;
    • de 11.1.0 hasta 11.1.1;
    • de 11.0.0 hasta 11.0.1;
    • de 10.7.1 hasta 10.7.4;
    • de 10.6.0 hasta 10.6.1;
    • de 10.5.0 hasta 10.5.1;
    • de 10.4.0 hasta 10.4.1;
    • de 10.3.0 hasta 10.3.15 (LTS);
    • de 10.2.0 hasta 10.2.1;
    • de 10.1.1 hasta 10.1.2;
    • de 10.0.0 hasta 10.0.1;
    • de 9.17.0 hasta 9.17.5;
    • de 9.16.0 hasta 9.16.1;
    • 9.15.2;
    • de 9.14.0 hasta 9.14.1;
    • de 9.13.0 hasta 9.13.1;
    • de 9.12.3 hasta 9.12.25 (LTS).
  • Jira Service Management Data Center y Server:
    • 11.3.0 (LTS);
    • 11.2.0;
    • de 11.1.0 hasta 11.1.1;
    • de 11.0.0 hasta 11.0.1;
    • de 10.7.1 hasta 10.7.4;
    • de 10.6.0 hasta 10.6.1;
    • de 10.5.0 hasta 10.5.1;
    • de 10.4.0 hasta 10.4.1;
    • de 10.3.0 hasta 10.3.16 (LTS);
    • de 10.2.0 hasta 10.2.1;
    • de 10.1.1 hasta 10.1.2;
    • de 10.0.0 hasta 10.0.1;
    • de 5.17.0 hasta 5.17.5;
    • de 5.16.0 hasta 5.16.1;
    • 5.15.2;
    • de 5.14.0 hasta 5.14.1;
    • de 5.13.0 hasta 5.13.1;
    • de 5.12.3 hasta 5.12.28 (LTS).
Descripción

Atlassian, en su lanzamiento mensual de parches, ha informado de 34 vulnerabilidades, de las cuales 32 son de severidad alta y 2 son de severidad crítica con dependencias de terceros.

Identificador
INCIBE-2026-044

5 – Crítica
Solución

Las vulnerabilidades han sido resueltas en las siguientes versiones:

  • Bamboo Data Center y Server:
    • 12.0.2 Data Center Only;
    • de 10.2.13 hasta 10.2.14 (LTS), recomendado Data Center Only;
    • de 9.6.21 hasta 9.6.22 (LTS) Data Center Only;
  • Bitbucket Data Center y Server:
    • de 10.1.1 hasta 10.1.4 Data Center Only;
    • de 9.4.15 hasta 9.4.16 (LTS), recomendado Data Center Only;
    • de 8.19.26 hasta 8.19.27 (LTS) Data Center Only;
  • Confluence Data Center y Server:
    • 10.2.2 (LTS), recomendado Data Center Only;
    • 9.2.13 (LTS) Data Center Only;
  • Crowd Data Center y Server:
    • 7.1.3, recomendado Data Center Only;
    • 6.3.4 Data Center Only;
  • Jira Data Center y Server:
    • de 11.3.0 hasta 11.3.1 (LTS), recomendado Data Center Only;
    • 11.2.1 Data Center Only;
    • 10.3.16 (LTS) Data Center Only;
    • de 9.12.26 hasta 9.12.31 (LTS);
  • Jira Service Management Data Center y Server:
    • 11.3.1 (LTS), recomendado Data Center Only;
    • 11.2.1 Data Center Only;
    • 10.3.16 (LTS) Data Center Only;
    • de 5.12.29 hasta 5.12.31 (LTS).
Detalle

Las vulnerabilidades críticas son:

  • CVE-2025-66516: XXE en Apache Tika, permite a un atacante realizar una inyección XXE (Entidad Externa XML) a través de un fichero XFA manipulado insertado en un PDF.
  • CVE-2025-12383: condición de carrera en Eclipse Jersey puede hacer que se ignoren las configuraciones SSL críticas como la autenticación mutua. Esta vulnerabilidad, bajo ciertas condiciones, puede hacer que se confíe en servidores inseguros.

El resto de vulnerabilidades, cuya severidad no es crítica, pueden consultarse en las referencias.

Listado de referencias
Atlassian – Security Bulletin – January 20 2026

CVE
Explotación
No

Fabricante
atlassian

Identificador CVE
CVE-2025-66516

Severidad
Crítica

Explotación
No

Fabricante
atlassian

Identificador CVE
CVE-2025-12383

Severidad
Crítica

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.