TokyoBlackHatNews

gbhackers.com 5分で読了

重大なBambooデータセンターおよびサーバーの脆弱性がコマンドインジェクション攻撃を可能にする

Atlassianは、Bambooデータセンターおよびサーバーの重大なOSコマンドインジェクション脆弱性(CVE-2026-21571)を公開しました。このCVSSスコアは9.4であり、認証された攻撃者が影響を受けたシステム上でコマンドをリモートから実行することを可能にします。

CVE-2026-21571として追跡されているこの脆弱性は、Atlassianの2026年4月21日のセキュリティ速報の一部として公開されました。これはエンタープライズ製品スイート全体のパッチが適用された脆弱性を月ごとに開示するものです。

National Vulnerability Databaseによると、この脆弱性は複数のBambooデータセンターのリリースブランチAに導入されており、バージョン9.6.0、10.0.0、10.1.0、10.2.0、11.0.0、11.1.0、12.0.0、および12.1.0を含みます。

Atlassianは、この脆弱性がAtlassian以外のサードパーティ依存関係に由来していることを指摘し、依存関係の同社での適用はより低い非重大なリスクをもたらすと述べています。ただし、CVSSスコア9.4という生の値は、依然としてこの欠陥を重大として分類しています。

技術的詳細

この脆弱性はCVSS v4.0ベクトルAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:Hを持ち、ネットワークから悪用可能であり、攻撃の複雑さが低く、低レベルの認証のみが必要であり、ユーザーの操作は不要です。

  • 機密性への高い影響 – 機密のビルドおよびデプロイメントデータが流出される可能性があります
  • 整合性への高い影響 – CI/CDパイプラインおよび成果物が改ざんされる可能性があります
  • 可用性への高い影響 – サーバーの操作が中断または停止される可能性があります

BambooはCI/CD(継続的インテグレーション/継続的デリバリー)プラットフォームとして広く使用されているため、攻撃者は悪意のあるコードを注入して自動ビルドおよびデプロイメントワークフロー内に直接挿入し、ソフトウェアサプライチェーン全体を危険にさらす可能性があります。

影響を受けるバージョン

以下のBambooデータセンターおよびサーバーバージョンが脆弱性があることが確認されています:

Atlassianは、以下の修正されたバージョンへの即座のアップグレードを強く推奨しています:

  • Bamboo Data Center 12.1.x → 12.1.6 (LTS) 以降にアップグレード (Data Centerのみ)
  • Bamboo Data Center 10.2.x → 10.2.18 (LTS) 以降にアップグレード (Data Centerのみ)
  • Bamboo Data Center 9.6.x → 9.6.25 以降にアップグレード

即座にアップグレードできない組織は、Atlassianの脆弱性開示ポータルに相談して、特定の製品バージョンの露出を確認する必要があります。

CVE-2026-21571は、Atlassianの2026年4月セキュリティ速報で対応された合計38の脆弱性の1つです。これには、Bamboo、Confluence、Bitbucket、Jiraソフトウェア、およびJiraサービス管理にわたる31の高リスクおよび7の重大リスク欠陥が含まれます。このセキュリティ速報における他の注目すべき重大欠陥は次のとおりです:

  • CVE-2024-47875 (CVSS 10.0) – Jiraソフトウェアおよびジラサービス管理データセンターのDOMPurify依存関係経由のミューテーションクロスサイトスクリプティング(mXSS)
  • CVE-2022-1471 (CVSS 9.8) – ConfluenceおよびSnakeYAML依存関係経由のリモートコード実行Jiraサービス管理データセンターA
  • CVE-2026-25547 (CVSS 9.2) – Jiraソフトウェアデータセンターの大括弧展開依存関係経由のサービス拒否

Atlassianは、月間セキュリティ速報を通じて公開されるCVEは、その製品が影響を受けるコンポーネントをどのように使用するかの文脈において、即座ではない非重大リスクとして評価され、重大なセキュリティアドバイザリーは即座の脅威をもたらす脆弱性について別途発行されることを明確にしています。

BambooデータセンターまたはサーバーOを実行するセキュリティおよびDevOpsチームは、以下のアクションを実行すべきです:

  1. 即座に監査する影響を受けるバージョンリストに対してすべてのデプロイされたBambooバージョン
  2. 推奨パッチを適用する – 該当する12.1.6 (LTS)、10.2.18 (LTS)、または9.6.25にアップグレード
  3. CI/CDパイプライン構成を確認する不正な変更または注入されたコマンドの兆候について
  4. 認証ログを監視するビルドエージェントを対象とした異常な低権限ユーザーアクティビティについて
  5. 脆弱性開示ポータルをチェックするatlassian.comで最新の修正されたバージョンガイダンスについて

Bambooがソフトウェア配信パイプラインで果たす役割を考えると、パッチが適用されていないインスタンスは、マルチチームDevOps環境で動作している企業にとって重大なサプライチェーンリスクをもたらします。

翻訳元: https://gbhackers.com/critical-bamboo-data-center-and-server-flaw/

ソース: gbhackers.com
#Atlassian #Bamboo #CI/CD #CVE-2026-21571 #DevOps #コマンドインジェクション #サプライチェーン #セキュリティ脆弱性 #リモートコード実行 #緊急パッチ

関連記事

Spring Authorization Serverの重大な脆弱性がシステムをXSSおよびSSRF攻撃にさらす

マイクロソフトが偽造ITワーカーアイデンティティのクラウド環境への浸透を警告

Auraboros RATがライブオーディオ、キーロギング、オープンC2パネル経由のクッキー盗聴機能を追加