Atlassian、GitLab、Zoomは今週、それぞれの製品にまたがる20件以上の脆弱性に対処するセキュリティパッチを発表した。
AtlassianのBamboo、Bitbucket、Confluence、Crowd、Jira向けに展開された更新には、重大度がクリティカルおよび高の脆弱性に対する32件のセキュリティパッチが含まれている。
不具合の大半はサードパーティ依存関係に影響するもので、過去2年間に公表されている。ただし、これらのバグのうち3件は2021年および2022年のものだ。
Atlassianの2026年1月のセキュリティ情報では、BambooおよびConfluence Data Center/Serverにおける2件のクリティカルな欠陥(CVE-2025-12383およびCVE-2025-66516)に言及しており、それぞれEclipse JerseyとApache Tikaに影響する。
Atlassianのアドバイザリによれば、これらの不具合はユーザーに対して「評価上はより低く、クリティカルではないリスク」をもたらすという。
同社のセキュリティ情報に記載された残りの23件のCVEはすべて重大度が高い脆弱性であり、そのうち22件についてAtlassianは影響を受けるサードパーティ依存関係に言及している。
また、この情報にはCVE-2026-21569も記載されている。これはCrowd Data Center/ServerにおけるXXE(XML External Entity)インジェクションのバグで、認証済みの攻撃者がユーザーの操作なしにコンテンツへアクセスできる可能性がある。
水曜日、GitLabは、5件の脆弱性を修正したGitLab Community Edition(CE)およびEnterprise Edition(EE)のバージョン18.8.2、18.7.2、18.6.4をリリースした。
CVE-2025-13927、CVE-2025-13928、CVE-2026-0723として追跡されている3件のバグは重大度が高い問題で、サービス拒否(DoS)状態や二要素認証(2FA)の回避につながる可能性がある。
残りの不具合は重大度が中の欠陥で、DoS状態につながる可能性があるとGitLabはアドバイザリで述べている。
Zoomは今週、Node Multimedia Routers(MMR)における重大度がクリティカルなコマンドインジェクション脆弱性の修正を発表した。
CVE-2026-22844(CVSSスコア9.9)として追跡されているこの問題により、会議参加者がMMR上で任意のコードをリモート実行できる可能性がある。
Zoomは、Node Meetings Hybrid(ZMH)MMRモジュールおよびNode Meeting Connector(MC)MMRモジュールのバージョン5.2.1716.0でこの不具合を解消した。
ユーザーはAtlassian、GitLab、Zoomのセキュリティ情報を確認し、できるだけ早く各インスタンスを更新するよう推奨されている。
翻訳元: https://www.securityweek.com/atlassian-gitlab-zoom-release-security-patches/
