Critical Atlassian Bamboo Data Center and Server Flaw Enables Command Injection Attacks
2026/04/22 CyberSecurityNews — Atlassian が公開したのは、Bamboo Data Center/Server 製品に影響を及ぼす、2 件の深刻なセキュリティ脆弱性 CVE-2026-21571/CVE-2026-33871 に関する情報である。そこに含まれるのは、深刻度 Critical の OS コマンド・インジェクションの脆弱性と、サードパーティの依存関係に関連する深刻度 High のサービス拒否 (DoS) の脆弱性である。影響を受けるバージョンを運用する組織に対して強く推奨されるのは、直ちにパッチを適用することである。
コマンド・インジェクションの脆弱性
1 件目の OS コマンド・インジェクションの脆弱性 CVE-2026-21571 (CVSS:9.4:Critical) は、Bamboo Data Center /Server における複数のバージョン・ブランチに影響を及ぼす。この脆弱性を悪用するリモート攻撃者は、基盤サーバ上で任意のオペレーティング・システム・コマンドを実行できる。これにより、システムの完全な侵害/ネットワーク内での横展開/機密データの流出が生じる恐れがある。
影響を受ける Bamboo のバージョンは以下の通りである。
- 12.1.0 ~ 12.1.3 (LTS)
- 12.0.0 ~ 12.0.2
- 11.0.0 ~ 11.0.8
- 10.2.0 ~ 10.2.16 (LTS)
- 10.1.0 ~ 10.1.1
- 10.0.0 ~ 10.0.3
- 9.6.2 ~ 9.6.24 (LTS)
Atlassian が Data Center 環境に対して推奨するのは、12.1.6 (LTS) へのアップグレード/代替案としての 10.2.18 (LTS) へのアップグレードである。
高深刻度の DoS 脆弱性
2 件目の脆弱性 CVE-2026-33871 (CVSS:8.7:High) は、Bamboo にバンドルされているサードパーティ・ライブラリ “io.netty:netty-codec-http2” の DoS 欠陥に起因する。
この脆弱性を悪用する攻撃者は、HTTP/2 処理を過負荷状態にし、CI/CD パイプラインに依存するサービスの停止や、可用性の低下を引き起こす可能性がある。
Atlassian によると、このライブラリは単独では極めて高いリスクを孕んでいるが、Bamboo での実装状況に照らせば、深刻度は High に留まると評価されている。ただし、パッチの適用は強く推奨されている。
Bamboo は、エンタープライズ向けのソフトウェア開発パイプラインで広く使用されている CI/CD 自動化サーバであり、サプライチェーンへの侵入やビルド・プロセスへの悪意のコード注入を狙う脅威アクターにとって魅力的な標的である。
このような環境において、コマンド・インジェクションの脆弱性は特に危険であり、ビルド成果物の改竄や、パイプライン設定内に保存された認証情報の窃取などの発生要因となる。
すでに Atlassian は、公式のダウンロード・アーカイブを通じて修正済みバージョンを提供している。管理者にとって必要なことは、現在の Bamboo のバージョンと、今回の脆弱性の影響範囲を確認した上で、推奨される LTS リリースへのアップグレードを優先的かつ遅滞なく実施することだ。
パッチ適用までの暫定対策として有効なのは、Bamboo の管理インターフェイスに対するネットワーク・レベルのアクセス制限を適用することだ。
訳者後書:Atlassian Bamboo に、二つの脆弱性が発見されました。一つ目の CVE-2026-21571 は、外部からの入力を適切に処理できず、サーバを操作する命令が実行されてしまう、OS コマンド・インジェクションに起因します。これにより、意図しない操作を許してしまいます。二つ目の CVE-2026-33871 は、製品に組み込まれた外部ライブラリの HTTP/2 処理に問題があり、過度な負荷がかかることで、サービスが止まってしまう恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Atlassian での検索結果と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.