アトラシアンは、Bamboo Data Centre アプリケーション内の重大なリモートコード実行(RCE)脆弱性を公式に修正しました。この脆弱性は CVE-2026-21570 として追跡されており、エンタープライズの継続的インテグレーションおよび継続的デプロイメント環境に深刻なリスクをもたらします。Bamboo は、自動ソフトウェアビルド、テスト、リリース管理の中核となるハブとして機能するため、この脆弱性を悪用されると、高度な攻撃者がソースコードを操作したり、機密のビルドシークレットを盗んだり、ソフトウェア開発業務を完全に中断したりする可能性があります。
脆弱性の発見と深刻度
この脆弱性は、アトラシアン自身のセキュリティ監査プログラムによって内部的に発見されました。CVSS 4.0 による深刻度は 8.6 と評価され、高い深刻度レベルに分類されています。
攻撃の仕組みと影響
脆弱性のベクター分析によると、攻撃はネットワーク経由でリモートで実行可能です。ただし、攻撃を実行するには、攻撃者がまず管理権限または昇格されたアクセス認証情報を取得する必要があります。必要な認証が確立されると、攻撃者はこのリモートコード実行の脆弱性を悪用して、Bamboo アプリケーションをホストするリモートサーバーに悪意のあるコードを直接展開および実行できます。 攻撃が成功すると、ホスト環境全体が完全に侵害されます。追加のユーザー操作を必要とせずに、この脆弱性を悪用することで、攻撃者はサーバーの機密性、完全性、可用性に深刻な影響を与える可能性があります。CVE-2026-21570 を悪用することで、非常に高い権限を持つ攻撃者は、事実上、ビルドインフラストラクチャ全体を完全に制御し、壊滅的なソフトウェアサプライチェーン攻撃への道を開きます。
影響を受けるバージョン
脆弱なコードは、複数の開発ブランチにわたる Bamboo Data Center の幅広いリリースに影響を与えます。特に、長期サポートの 9.6 リリースラインが大きく影響を受けており、9.6.0 から 9.6.23 までのすべてのバージョンが影響を受けています。また、バージョン 10.0.0、10.1.0、および 10.2.0 の主要リリースも影響を受けています。さらに、11.x および 12.x ブランチで新しいインフラストラクチャを実行している組織も、バージョン 11.0.0、11.1.0、12.0.0、12.1.0、12.1.1、および 12.1.2 がセキュリティの欠陥を依然として含んでいるため、リスクにさらされています。
対応策
アトラシアンは、このリモートコード実行の脅威を無効にするために、システム管理者に公式のセキュリティパッチを直ちに適用することを強く推奨しています。管理者は、現在アクティブなリリースブランチに基づいて Bamboo Data Center インストールをアップグレードする必要があります。9.6 トラックで動作している環境は、バージョン 9.6.24 以降にアップグレードする必要があります。10.2 デプロイメントを管理しているチームは、バージョン 10.2.16 をインストールする必要があります。最後に、最近の 12.1 シリーズのインフラストラクチャは、バージョン 12.1.3 以降にアップグレードする必要があります。セキュリティ担当者は、アトラシアンのダウンロードセンターからパッチを適用したインストールファイルを直接取得して、潜在的な悪用からデプロイメントパイプラインを保護できます。
まとめ
この脆弱性は、ソフトウェア開発プロセス全体に影響を与える可能性があり、迅速な対応が不可欠です。アトラシアンの指示に従い、適切なバージョンへのアップデートを徹底することで、リスクを最小限に抑えることができます。
元記事: https://gbhackers.com/bamboo-data-center-and-server-vulnerability/