Atlassian ha revelado dos vulnerabilidades de seguridad importantes en Bamboo Data Center y Server, incluyendo una falla crítica de inyección de comandos en el sistema operativo que permite la ejecución remota de comandos, y una vulnerabilidad de denegación de servicio (DoS) de alta severidad relacionada con una dependencia externa. Se recomienda aplicar las actualizaciones disponibles con urgencia para mitigar riesgos de compromiso completo del sistema y interrupciones en los pipelines de integración continua.
CVE y severidad
| CVE | Puntaje CVSS v3 | Severidad | Descripción | Componentes afectadas |
|---|---|---|---|---|
| CVE-2026-21571 | 9.4 | Crítica | Inyección de comandos OS que permite ejecución remota arbitraria en Bamboo Data Center y Server. | Bamboo Data Center y Server múltiples versiones. |
| CVE-2026-33871 | 8.7 | Alta | Denegación de servicio mediante vulnerabilidad en la librería io.netty:netty-codec-http2 integrada en Bamboo. | Bamboo Data Center y Server con dependencia Netty HTTP/2. |
Productos afectados
| Producto | Versiones afectadas |
|---|---|
| Bamboo Data Center y Server | 9.6.2 a 9.6.24 (LTS), 10.0.0 a 10.0.3, 10.1.0 a 10.1.1, 10.2.0 a 10.2.16 (LTS), 11.0.0 a 11.0.8, 12.0.0 a 12.0.2, 12.1.0 a 12.1.3 (LTS) |
Solución
Actualizar a la versión 12.1.6 (LTS) para Bamboo Data Center o a la versión 10.2.18 (LTS) como alternativa corregida.
Recomendaciones
Priorizar la aplicación de los parches oficiales para evitar compromisos graves y asegurar la continuidad operativa; mientras se actualiza, restringir el acceso a las interfaces administrativas de Bamboo a nivel de red para mitigar temporalmente los riesgos.