Le CERT-FR a émis le 20 mai 2026 un avis de sécurité concernant de multiples vulnérabilités découvertes dans plusieurs produits de l'éditeur Atlassian. Ces failles, identifiées dans les versions serveur et Data Center de Confluence, Jira Software et Jira Service Management, présentent un niveau de risque élevé. L'éditeur a publié une série de bulletins de sécurité le 19 mai 2026 pour corriger ces défauts.
Produits et versions concernés
Les vulnérabilités affectent les versions suivantes :
- Confluence Data Center : versions antérieures à 10.2.11 et antérieures à 9.2.20 ;
- Jira Service Management Data Center et Server : versions antérieures à 10.3.20 et antérieures à 11.3.5 ;
- Jira Software Data Center : versions antérieures à 10.3.20, antérieures à 11.3.5 et antérieures à 9.12.35.
Risques identifiés
Selon l'avis du CERT-FR, ces failles exposent les systèmes à plusieurs types de risques :
- Exécution de code arbitraire à distance ;
- Déni de service à distance ;
- Atteinte à la confidentialité des données ;
- Atteinte à l'intégrité des données ;
- Contournement de la politique de sécurité ;
- Injection de code indirecte à distance (XSS).
Correctifs et recommandations
Atlassian a mis à disposition des correctifs pour l'ensemble des versions vulnérables. Les administrateurs sont invités à appliquer sans délai les mises à jour mentionnées dans les bulletins de sécurité de l'éditeur. Le CERT-FR recommande de se référer à ces bulletins pour obtenir les correctifs et les détails techniques associés.
Contexte
Cette vague de correctifs intervient alors que la suite logicielle d'Atlassian est largement déployée dans les entreprises pour la gestion de projets collaboratifs, le suivi de tickets et la documentation. L'ampleur des versions concernées et la diversité des risques – de l'exécution de code à distance au déni de service – soulignent l'importance d'une mise à jour rapide des instances concernées.
