Kritische Schwachstelle in Atlassian Bamboo Data Center und Server ermöglicht Command Injection Angriffe

Atlassian hat zwei schwerwiegende Sicherheitslücken in seinem Produkt Bamboo Data Center und Server bekannt gegeben, darunter eine kritische OS Command Injection Schwachstelle und ein hochgradiges Denial-of-Service-Probl Atlassian hat zwei schwerwiegende Sicherheitslücken in seinem Produkt Bamboo Data Center und Server bekannt gegeben, darunter eine kritische OS Command Injection Schwachstelle und ein hochgradiges Denial-of-Service-Problem, das mit einer Drittanbieter-Abhängigkeit zusammenhängt.

Organisationen, die betroffene Versionen betreiben, werden dringend aufgefordert, die Patches umgehend anzuwenden.

Kritische Command Injection Schwachstelle (CVE-2026-21571) Die schwerwiegendste der beiden Schwachstellen, die als CVE-2026-21571 verfolgt wird, weist einen CVSS-Score von 9,4 (Kritisch) auf und betrifft Bamboo Data Center und Server über mehrere Versionszweige hinweg.

Diese als OS Command Injection Schwachstelle eingestufte Schwachstelle könnte es einem entfernten Angreifer ermöglichen, beliebige Betriebssystembefehle auf dem zugrunde liegenden Server auszuführen, was potenziell zu einem vollständigen Systemkompromittierung, lateralen Bewegung über Netzwerke oder der Exfiltration sensibler Daten führen kann.

Die Schwachstelle betrifft folgende Bamboo-Versionen: Atlassian empfiehlt das Upgrade auf 12.1.6 (LTS) für Data Center-Deployments oder 10.2.18 (LTS) als alternative gepatchte Version.

High-Severity DoS Via Netty Dependency (CVE-2026-33871) Die zweite Schwachstelle, CVE-2026-33871, weist einen Score von 8.7 (Hoch) auf und resultiert aus einer Denial-of-Service-Schwachstelle in der Drittanbieterbibliothek io.netty:netty-codec-http2, die mit Bamboo gebündelt ist.