Atlassian hat am 17. Februar 2026 seinen monatlichen Sicherheitsbericht veröffentlicht, der 13 hochgradige und 3 kritische Schwachstellen in seinen Data-Center- und Server-Produkten auflistet. Betroffen sind Bamboo, Confluence und Crowd – wer diese Produkte selbst betreibt (On-Premises), sollte zeitnah handeln.
Die gravierendsten Lücken betreffen Crowd: Zwei Injection-Schwachstellen (CVE-2025-9288 und CVE-2025-9287, CVSS 9.1) sowie eine XXE-Lücke (CVE-2025-66516, CVSS 9.8) in eingebetteten Drittbibliotheken ermöglichen theoretisch das Einschleusen von Code oder das Auslesen interner Systemdaten. Atlassian stuft das tatsächliche Risiko durch die Art der Einbindung niedriger ein – kritisch bleibt es trotzdem. Hinzu kommt eine Remote-Code-Execution-Lücke via commons-beanutils (CVE-2025-48734, CVSS 8.8). Für Confluence wurden mehrere Denial-of-Service-Schwachstellen sowie eine File-Inclusion-Lücke (CVE-2025-59343, CVSS 8.7) gepatcht. Bamboo erhält einen Fix für DOM-basiertes Cross-Site-Scripting.
Bin ich betroffen? Wer Atlassian-Produkte in der Cloud nutzt, muss nichts tun – Atlassian patcht dort selbst. Betroffen sind ausschließlich selbst gehostete Instanzen. Die betroffenen Versionsbereiche sind im Bulletin detailliert aufgeführt; die eigene Version lässt sich schnell in den Produkteinstellungen unter „System“ oder „About“ ablesen und mit der Liste abgleichen.
Empfehlung: Update auf die jeweils empfohlene LTS-Version durchführen – für Crowd ist das 7.1.4, für Confluence 10.2.6 bzw. 9.2.15, für Bamboo 12.1.2. Wer ältere, nicht mehr unterstützte Versionen einsetzt, sollte den Sprung auf eine aktuelle LTS-Version priorisieren. Das Atlassian Vulnerability Disclosure Portal hilft beim Abgleich der eigenen Versionen mit bekannten CVEs.
Originalartikel: https://confluence.atlassian.com/security/security-bulletin-february-17-2026
