Atlassian Juni-Bulletin: 100 Sicherheitslücken in Jira, Confluence, Bitbucket, Bamboo und Crowd

Atlassian hat am 16. Juni 2026 ein umfangreiches Security Bulletin veröffentlicht, das insgesamt 100 Sicherheitslücken in den Data-Center- und Server-Editionen von Jira Software, Jira Service Management, Conflünce, Bitbucket, Bamboo, Crowd, Fisheye und Crucible adressiert. Ein erheblicher Teil der Lücken steckt nicht im eigenen Atlassian-Code, sondern in transitiven Abhängigkeiten wie org.apache.tomcat:tomcat-catalina, io.netty:netty-codec-http und axios. Mehrere dieser Lücken erreichen einen CVSS-Score von 9.8 oder 10.0. Admins, die eine der genannten Anwendungen im produktiven Einsatz haben, sollten die Aktualisierung zeitnah einplanen.

Meldung und Einordnung

Das Bulletin vom 16. Juni 2026 reiht sich in die monatlichen Atlassian-Sicherheitszyklen ein. Die Veröffentlichung enthält Lücken unterschiedlichster Schweregrade: von DoS-Schwachstellen über Information Disclosure bis hin zu RCE-Klassen mit maximalem CVSS-Wert. Heise online weist in seiner Begleitmeldung vom 21. Juni 2026 ausdrücklich darauf hin, dass Atlassian den überwiegenden Teil der Lücken in eigenen Anwendungen als hoch oder kritisch einstuft. Bislang gibt es keine Berichte, dass eine der Lücken aktiv ausgenutzt wird. Da jedoch sowohl die kritischen Tomcat-Lücken als auch die Axios-Prototype-Pollution-Lücken in identischer Form in anderen Java- und JavaScript-Ökosystemen bereits ausgenutzt wurden, ist die zeitnahe Aktualisierung dringend angeraten.

Für KMU und Mittelstand ist die Atlassian-Suite in vielen IT- und Entwicklungsabteilungen das Rückgrat der täglichen Arbeit: Jira für Aufgaben- und Ticketmanagement, Conflünce als internes Wiki, Bitbucket als Git-Repository-Hoster, Bamboo als CI/CD-Server und Crowd als SSO-Brücke. Ein erfolgreicher Angriff auf eine dieser Komponenten verschafft dem Angreifer typischerweise Zugriff auf interne Dokumentation, Quellcode und Build-Artefakte. Die Kombination aus hoher Verbreitung und zentraler Datenlage macht das aktuelle Bulletin zu einem Pflicht-Patch.

Technische Details für Admins

Die mit Abstand kritischste Lücke des Bulletins ist CVE-2026-40175, eine Prototype-Pollution-Schwachstelle in der Axios-JavaScript-Bibliothek, die Jira Data Center und Jira Server als transitive Abhängigkeit nutzt. Der CVSS-Score liegt bei 10.0 (kritisch). Atlassian weist allerdings darauf hin, dass die eigene Verwendung der Abhängigkeit in einem weniger sensiblen Kontext stattfindet, sodass das praktische Risiko niedriger als der formale Score einzustufen ist. Dennoch: ein Angreifer kann über die Schwachstelle eigenen Code in Jira ausführen.

Mehrere Lücken mit einem CVSS-Score von 9.8 betreffen die Apache-Tomcat-Abhängigkeit org.apache.tomcat:tomcat-catalina und kommen in Conflünce, Jira Service Management, Jira Software und Crowd zum Tragen. Die zugehörigen CVE-IDs lauten CVE-2026-41293, CVE-2026-43512 und CVE-2026-43515. Es handelt sich um Injection-, Authentication-Bypass- und Improper-Authorization-Klassen, die das Sicherheitsmodell der jeweiligen Anwendung untergraben können. CVE-2026-41044 steckt in der ActiveMQ-Broker-Abhängigkeit von Bamboo und erlaubt Remote Code Execution mit einem CVSS-Score von 8.8. Weitere Lücken in io.netty:netty-codec-http (HTTP-Request-Smuggling, CVE-2026-42584/42585) betreffen Conflünce, Jira Service Management, Bitbucket und Bamboo.

Risiko für KMU und Betrieb

Die unmittelbare Gefahr geht von den Tomcat-Lücken aus. Tomcat ist in jeder Java-Webapplikation als Servlet-Container aktiv und verarbeitet eingehende HTTP-Anfragen, bevor sie von der Anwendung selbst interpretiert werden. Eine erfolgreiche Injection oder ein Authentication-Bypass in dieser Schicht ermöglicht es Angreifern, die Authentifizierungslogik der Atlassian-Anwendung zu umgehen und direkt in die geschützten Bereiche der Anwendungen einzudringen. Insbesondere Conflünce und Jira enthalten hochsensible Daten: Personendaten, Anwendungs-Credentials, Quellcode-Snippets, API-Tokens und interne Prozessdokumentation.

Das Dependency-Management-Thema betrifft nicht nur Atlassian, sondern ist ein Branchenproblem: Eine einzelne CVE in einer scheinbar harmlosen JavaScript- oder Java-Bibliothek kann über mehrere transitive Abhängigkeiten in Dutzende Enterprise-Produkte gelangen. Wer in seiner eigenen Software SBOM-Werkzeuge wie Trivy oder Syft einsetzt, kann den Überblick über transitive CVEs behalten und im Atlassian-Fall direkt prüfen, ob weitere Produkte im Bestand betroffen sind. Die Axios-Prototype-Pollution-Lücke ist ein typischer Vertreter dieser Klasse – sie taucht seit Juni 2026 in immer mehr Sicherheitsmeldungen auf.

Was Admins jetzt prüfen sollten

1. Bestand aufnehmen: Eine Inventur aller laufenden Atlassian-Instanzen machen: Welche Produkte (Jira, Conflünce, Bitbucket, Bamboo, Crowd, Service Management) sind im Einsatz, in welcher Version, auf welcher LTS-Linie?
2. LTS-Pfad wählen: Atlassian empfiehlt für die meisten Produkte die Long-Term-Support-Versionen (11.3.7, 10.3.22, 9.4.21 etc.). Diese Versionen sind im Unternehmensumfeld die strategische Wahl, weil sie länger mit Patches versorgt werden.
3. Staging-Tests einrichten: Vor dem produktiven Roll-out die neue Version in einer Staging-Umgebung mit produktionsnaher Last und gleichen Plug-ins testen. Besonders wichtig: Marketplace-Apps können inkompatibel sein.
4. Backup vor Roll-out: Vor jedem Upgrade einen konsistenten Backup der Datenbank und des Home-Verzeichnisses erstellen. Im Fehlerfall ermöglicht das einen Roll-back innerhalb weniger Minuten.
5. Maintenance-Fenster kommunizieren: Conflünce, Jira und Bamboo sind häufig Tag-Werkzeuge. Upgrades sollten in das geplante Wartungsfenster am Abend oder am Wochenende gelegt werden, mit ausreichend Pufferzeit für Smoke-Tests.
6. SSO-Anbindung prüfen: Wer Crowd oder ein externes SSO-System nutzt, sollte nach dem Upgrade die Authentifizierungspfade gezielt testen. CVE-2026-22732 (Spring Security Business Logic) in Crowd betrifft genau diese Integrationsschicht.
7. Post-Upgrade-Scan: Nach dem Upgrade mit Tools wie Trivy oder dem Atlassian-eigenen code insights-Feature die Instanzen erneut auf bekannte CVEs prüfen. So lässt sich verifizieren, dass das Roll-out tatsächlich alle Komponenten erfasst hat.

Betriebscheck nach der Meldung

1. Welche Atlassian-Produkte sind in unserer Umgebung produktiv im Einsatz, in welcher Version? Liste mit der Inventardatenbank abgleichen.
2. Setzen wir die LTS-Versionen ein, oder sind wir auf einer kurzlebigen Feature-Release-Linie unterwegs?
3. Liegen für die im Bulletin genannten CVE-IDs (CVE-2026-40175, CVE-2026-41293, CVE-2026-43512, CVE-2026-41044) aktuelle SBOM-Scans unserer Container-Images vor?
4. Ist das nächste Wartungsfenster für Atlassian-Upgrades definiert, oder muss kurzfristig eines eingeplant werden?
5. Welche Marketplace-Apps sind im Einsatz, und sind diese mit der Ziel-Version kompatibel? Vorab beim Hersteller der App prüfen.
6. Wurde in den Auth-Logs der vergangenen 30 Tage ein ungewöhnlicher Anstieg fehlgeschlagener Logins oder verdächtige HTTP-Request-Smuggling-Muster (z. B. doppelte Content-Length-Header) registriert?

Admin-Einschätzung

Das Atlassian-Bulletin ist im Vergleich zu Microsoft-Patchdays weniger medienwirksam, aber in der betrieblichen Wirkung oft durchschlagender, weil dieselbe CVE über mehrere Produkte hinweg zuschlägt. Wer Atlassian-Tools im Bestand hat, sollte das Bulletin als Pflicht-Patch behandeln und in den nächsten Wartungszyklus einplanen. Insbesondere die Tomcat-Klasse (CVE-2026-41293, CVE-2026-43512) verdient Aufmerksamkeit, weil sie Authentication-Bypasses in den am weitesten verbreiteten Atlassian-Produkten ermöglicht.

Strategisch lohnt es sich, Atlassian-Upgrades künftig in einen festen monatlichen Patch-Rhythmus einzubetten. Das Bulletin erscheint regelmäßig, und ein verzögerter Roll-out verlängert das Zeitfenster, in dem die eigenen Instanzen verwundbar sind. Ergänzend empfehlen wir, die im Bulletin genannten CVE-IDs in das zentrale Vulnerability-Management zu übernehmen und mit einem SBOM-Scanner in der CI/CD-Pipeline laufend zu prüfen. So sieht man transitive Risiken aus Tomcat, Axios und Netty auch jenseits von Atlassian.

Passende Anleitungen auf S-EDV

1. Docker-Images auf Schwachstellen scannen mit Trivy: CVE-Check, SBOM und automatisierte CI/CD-Reports – erkennt transitive CVE-IDs in den hier relevanten Abhängigkeiten.
2. Linux-Server absichern: UFW-Firewall und Fail2ban – ergänzt den Patch-Prozess um Härtung auf Netzwerk- und Login-Ebene.
3. Backup-Restore-Test als feste Routine etablieren – das richtige Backup vor jedem Upgrade gehört zum Pflichtprogramm.
4. Single Sign-On für den Self-Hosted-Stack: Authentik vs. Authelia mit Träfik Forward Auth – wer Atlassian mit eigenem SSO betreibt, profitiert von einer zentralen Auth-Schicht.

Quellen

1. heise online: Bamboo, Conflünce & Co.: Atlassian schließt 100 Sicherheitslücken (21.06.2026)
2. Atlassian Security Bulletin – June 16 2026 (offiziell)
3. NVD: CVE-2026-40175 (Axios Prototype Pollution, Jira)
4. NVD: CVE-2026-41044 (ActiveMQ RCE, Bamboo)
5. NVD: CVE-2026-41293 (Tomcat Injection, Conflünce/Jira)