Una falla crítica en el servidor y el centro de datos de Atlassian Bamboo permite ataques de inyección de comandos
Resumen Informativo
De acuerdo a la publicación titulada Una falla crítica en el servidor y el centro de datos de Atlassian Bamboo permite ataques de inyección de comandos, difundida en fecha 22/04/2026 09:36, por el medio Cybersecuritynews (Autor: Guru Baran):
Atlassian ha revelado dos vulnerabilidades de seguridad importantes que afectan a su producto Bamboo Data Center y Server, incluida una falla crítica de inyección de comandos del sistema operativo y un problema de denegación de servicio de alta gravedad vinculado a una dependencia de terceros. Fallo crítico de inyección de comandos (CVE-2026-21571) La más grave de las dos vulnerabilidades, rastreada como CVE-2026-21571, tiene una puntuación CVSS de 9,4 (crítico) y afecta a Bamboo Data Center y Server en varias ramas de versiones.
Clasificada como una vulnerabilidad de inyección de comandos del sistema operativo, esta falla podría permitir que un atacante remoto ejecute comandos arbitrarios del sistema operativo en el servidor subyacente, lo que podría provocar un compromiso total del sistema, movimiento lateral a través de redes o filtración de datos confidenciales. La vulnerabilidad afecta a las siguientes versiones de Bamboo: 12.1.0 a 12.1.3 (LTS) 12.0.0 a 12.0.2 11.0.0 a 11.0.8 10.2.0 a 10.2.16 (LTS) 10.1.0 a 10.1.1 10.0.0 a 10.0.3 9.6.2 a 9.6.24 (LTS) Atlassian recomienda actualizar a 12.1.6 (LTS) para implementaciones de centros de datos o 10.2.18 (LTS) como una versión parcheada alternativa. DoS de alta gravedad a través de la dependencia de Netty (CVE-2026-33871) La segunda vulnerabilidad, CVE-2026-33871, tiene una puntuación de 8,7 (alta) y se debe a una debilidad de denegación de servicio en la biblioteca de terceros io.netty:netty-codec-http2 incluida con Bamboo. Un atacante que aproveche esta falla podría sobrecargar el procesamiento HTTP/2 del servidor, provocando interrupciones en el servicio y degradación de la disponibilidad de las canalizaciones de CI/CD que dependen de Bamboo.
Las vulnerabilidades de inyección de comandos en dichos entornos son particularmente peligrosas, ya que pueden permitir a los atacantes alterar los artefactos de compilación o recopilar las credenciales almacenadas en las configuraciones de canalización. La publicación Un fallo crítico en el servidor y el centro de datos de Atlassian Bamboo permite ataques de inyección de comandos apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Una falla crítica en el servidor y el centro de datos de Atlassian Bamboo permite ataques de inyección de comandos |
| Publicado: | 22/04/2026 09:36 |
| Enlace: | https://cybersecuritynews.com/bamboo-data-center-and-server-vulnerability-2 |
| Consultado: | 22/04/2026 |
