JVN iPedia
http://jvndb.jvn.jp
Advisory
JVNDB-2026-002587
AtlassianのCrowdにおけるXML 外部エンティティの脆弱性
この高重大度のXXE(XML外部エンティティインジェクション)脆弱性は、Crowd Data CenterおよびServerのバージョン7.1.0で導入されました。このXXE脆弱性はCVSSスコア7.9であり、認証済みの攻撃者がローカルおよびリモートのコンテンツにアクセスできるようにします。この脆弱性は、機密性に高い影響、完全性に低い影響、可用性に高い影響を与え、ユーザーの操作は不要です。Atlassianは、Crowd Data CenterおよびServerの利用者に最新バージョンへのアップグレードを推奨しています。もしアップグレードが不可能な場合は、指定されたサポート対象の修正版のいずれかにインスタンスをアップグレードすることを推奨します。* Crowd Data CenterおよびServer 7.1では、バージョン7.1.3以上のリリースにアップグレードしてください。リリースノート(https://confluence.atlassian.com/crowd/crowd-release-notes-199094.html)を参照してください。最新バージョンはダウンロードセンター(https://www.atlassian.com/software/crowd/download-archive)から入手可能です。この脆弱性はAtlassianの内部プログラムを通じて報告されました。
cpe:/a:atlassian:crowd
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-002587.html
Common Vulnerabilities and Exposures (CVE)
CVE-2026-21569
https://www.cve.org/CVERecord?id=CVE-2026-21569
National Vulnerability Database (NVD)
CVE-2026-21569
https://nvd.nist.gov/vuln/detail/CVE-2026-21569
Atlassian
Security Bulletin - January 20 2026 | Atlassian Support | Atlassian Documentation
https://confluence.atlassian.com/pages/viewpage.action?pageId=1712324819
Atlassian
[CWD-6453] XXE (XML External Entity Injection) in Crowd Data Center and Server - Create and track feature requests for Atlassian products.
https://jira.atlassian.com/browse/CWD-6453
JVNDB
CWE-611
XML 外部エンティティ参照の不適切な制限
https://cwe.mitre.org/data/definitions/611.html
2026-02-04T18:39:49+09:00
2026-02-04T18:39:49+09:00