アトラシアン、Apache Tikaの重大な欠陥を修正

アトラシアンは、重大度クリティカルの欠陥を含む、同社製品に影響する約30件のサードパーティ製脆弱性に対するパッチを公開しました。

まず注目すべきセキュリティ欠陥は、CVE-2025-66516（CVSSスコア10/10）で、重大度クリティカルのXML外部エンティティ（XXE）インジェクションのApache Tikaのバグです。

ユニバーサルパーサーのtika-core、tika-pdf-module、tika-parsersモジュールに影響するこの欠陥は、12月上旬に公開されました。

PDFファイル内に配置された細工されたXFAファイルを介して悪用される可能性があり、情報漏えい、サービス拒否（DoS）、SSRF攻撃、またはリモートコード実行（RCE）につながる恐れがあります。

Tikaを使用するアトラシアン製品には、Bamboo、Confluence、Crowd、Fisheye/Crucible、Jira、Jira Service Managementが含まれます。同社はこの6製品すべてに対する修正をリリースしました。

アトラシアンが今月解決した重大度クリティカルの問題の一覧には、Confluenceで使用されているwebpackのloader-utilsにおけるプロトタイプ汚染の脆弱性であるCVE-2022-37601（CVSSスコア9.8）も含まれています。

別の重大なプロトタイプ汚染のバグも、JiraおよびJira Service Managementで修正されました。CVE-2021-39227（CVSSスコア9.8）として追跡されており、軽量グラフィックライブラリZRenderに影響します。

今回のアトラシアンの最新の修正では、重大度の高いDoS、XXE、SSRF、ファイルインクルージョン、プロトタイプ汚染、不適切な認可、情報漏えい、不適切な入力検証、RCEの欠陥も20数件以上解決されています。

これらの欠陥を修正するソフトウェアアップデートは、Bamboo、Bitbucket、Confluence、Crowd、Fisheye/Crucible、Jira、Jira Service Managementのデータセンターおよびサーバー製品向けにリリースされました。

これらの弱点はサードパーティの依存関係で見つかったため、それらに依存するすべてのアトラシアン製品に影響します。

ユーザーは、できるだけ早くパッチを適用することが推奨されます。バグおよび修正に関する追加情報は、アトラシアンの2025年12月のセキュリティアドバイザリで確認できます。