Atlassian-Sicherheitsupdate Februar 2026 – Handlungsbedarf für Bamboo, Confluence und Crowd

Atlassian hat am 17. Februar 2026 seinen monatlichen Sicherheitsbericht veröffentlicht, der 13 hochgradige und 3 kritische Schwachstellen in seinen Data-Center- und Server-Produkten auflistet. Betroffen sind Bamboo, Confluence und Crowd – wer diese Produkte selbst betreibt (On-Premises), sollte zeitnah handeln.

Die gravierendsten Lücken betreffen Crowd: Zwei Injection-Schwachstellen (CVE-2025-9288 und CVE-2025-9287, CVSS 9.1) sowie eine XXE-Lücke (CVE-2025-66516, CVSS 9.8) in eingebetteten Drittbibliotheken ermöglichen theoretisch das Einschleusen von Code oder das Auslesen interner Systemdaten. Atlassian stuft das tatsächliche Risiko durch die Art der Einbindung niedriger ein – kritisch bleibt es trotzdem. Hinzu kommt eine Remote-Code-Execution-Lücke via commons-beanutils (CVE-2025-48734, CVSS 8.8). Für Confluence wurden mehrere Denial-of-Service-Schwachstellen sowie eine File-Inclusion-Lücke (CVE-2025-59343, CVSS 8.7) gepatcht. Bamboo erhält einen Fix für DOM-basiertes Cross-Site-Scripting.

Bin ich betroffen? Wer Atlassian-Produkte in der Cloud nutzt, muss nichts tun – Atlassian patcht dort selbst. Betroffen sind ausschließlich selbst gehostete Instanzen. Die betroffenen Versionsbereiche sind im Bulletin detailliert aufgeführt; die eigene Version lässt sich schnell in den Produkteinstellungen unter „System" oder „About" ablesen und mit der Liste abgleichen.

Empfehlung: Update auf die jeweils empfohlene LTS-Version durchführen – für Crowd ist das 7.1.4, für Confluence 10.2.6 bzw. 9.2.15, für Bamboo 12.1.2. Wer ältere, nicht mehr unterstützte Versionen einsetzt, sollte den Sprung auf eine aktuelle LTS-Version priorisieren. Das Atlassian Vulnerability Disclosure Portal hilft beim Abgleich der eigenen Versionen mit bekannten CVEs.

Originalartikel: https://confluence.atlassian.com/security/security-bulletin-february-17-2026

Related Posts

KI-generierte Passwörter sind unsicher – auch wenn sie stark aussehen

Wer ChatGPT, Claude oder Gemini bittet, ein Passwort zu generieren, bekommt etwas, das sicher aussieht – aber es nicht ist. Sicherheitsforscher von Irregular Security haben das systematisch nachgewiesen: In 50 Testläufen produzierte Claude Opus 4.6 das Passwort G7$kL9#mQ2&xP4!w satte 18-mal. Klassische Passwort-Tools wie KeePass bewerten solche Passwörter mit ~100 Bit Entropie und damit als „exzellent" – tatsächlich liegt die reale Entropie laut Analyse bei nur etwa 27 Bit. Das ist der Unterschied zwischen „Milliarden Jahre zum Knacken" und „Sekunden mit einem Heimrechner".

Read More

Kritische RCE-Schwachstelle im OpenSSL Januar-2026-Release gefixt

Ein autonomes KI-Analysesystem namens AISLE hat sämtliche 12 Sicherheitslücken entdeckt, die OpenSSL im koordinierten Januar-2026-Release behoben hat. Dies stellt einen Meilenstein in der automatisierten Schwachstellenanalyse dar, da OpenSSL als eine der am intensivsten geprüften Codebases weltweit gilt. Einige der gefundenen Schwachstellen existierten seit Jahrzehnten – eine davon seit 1998. Die Entdeckungen umfassen eine hochkritische Remote Code Execution-Schwachstelle (CVE-2025-15467) durch Stack Buffer Overflow beim CMS AuthEnvelopedData-Parsing, die vor jeder Authentifizierung ausgelöst werden kann.

Read More

Notepad++: Chrysalis-Backdoor der Lotus Blossom APT-Gruppe

Rapid7 hat eine komplexe Angriffskampagne der chinesischen APT-Gruppe Lotus Blossom aufgedeckt, die seit 2009 aktiv ist und primär Regierungsbehörden, Telekommunikation, Luftfahrt und kritische Infrastrukturen in Südostasien und Zentralamerika ins Visier nimmt. Der Angriffsvektor nutzte kompromittierte Notepad++-Infrastruktur zur Verbreitung einer bisher unbekannten Backdoor namens Chrysalis.

Read More