La vulnerabilidad CVE-2026-21571 permite inyección de comandos del sistema a atacantes autenticados. Afecta versiones 9.6.x a 12.1.x del servidor de CI/CD empresarial.
Atlassian publicó el 21 de abril de 2026 su boletín de seguridad mensual con 38 vulnerabilidades corregidas, incluyendo una falla crítica de ejecución remota de código en Bamboo Data Center. La vulnerabilidad CVE-2026-21571, clasificada con CVSS 9.4, permite a un atacante autenticado inyectar comandos del sistema operativo y ejecutarlos en el servidor afectado, con impacto alto en confidencialidad, integridad y disponibilidad.
La falla afecta múltiples ramas de Bamboo Data Center y Server: desde la versión 9.6.0 hasta 12.1.3. Los administradores deben actualizar a las versiones corregidas 9.6.25, 10.2.18 (LTS) o 12.1.6 (LTS) según la rama desplegada. El vector de ataque es remoto (AV:N), con complejidad baja (AC:L) y solo requiere privilegios de autenticación de bajo nivel (PR:L), no necesita interacción del usuario.
Según el boletín oficial de Atlassian, la vulnerabilidad proviene de una dependencia de terceros no especificada, aunque la implementación específica en Bamboo reduce el riesgo evaluado por el fabricante.
El mismo boletín corrige otras 31 vulnerabilidades de severidad alta en productos como Jira Software, Jira Service Management, Confluence y Bitbucket. Destaca CVE-2026-33871 (CVSS 8.7), una falla de denegación de servicio en la biblioteca io.netty:netty-codec-http2 que también afecta Bamboo Data Center. Adicionalmente, se publicaron 7 vulnerabilidades críticas en dependencias de terceros, incluyendo CVE-2024-47875 (CVSS 10.0), una vulnerabilidad de cross-site scripting mutacional (mXSS) en DOMPurify que afecta Jira Software y Jira Service Management.
Bamboo es un servidor de integración continua y despliegue continuo (CI/CD) ampliamente adoptado en empresas de tecnología y equipos DevOps en América Latina. Una explotación exitosa de CVE-2026-21571 permitiría a un atacante comprometer el servidor de compilación, inyectar código malicioso en los artefactos de software, acceder a credenciales almacenadas en las configuraciones de pipeline, o utilizar el servidor como punto de pivote para movimiento lateral hacia otros sistemas de desarrollo. El portal de confianza de Atlassian permite verificar versiones específicas y consultar el historial de vulnerabilidades.
Para organizaciones con instancias Bamboo expuestas a internet o accesibles desde redes corporativas amplias, el SLA recomendado es parchear en menos de 72 horas. Las versiones LTS (Long Term Support) 12.1.6 y 10.2.18 son las prioritarias para despliegues Data Center. En entornos donde la actualización inmediata no sea viable, se recomienda restringir el acceso administrativo a IPs autorizadas y monitorear los logs de autenticación en busca de actividad anómala en cuentas de bajo privilegio.
Atlassian emite avisos de seguridad críticos fuera del ciclo mensual cuando detecta riesgo inmediato; este caso se publicó en el boletín regular, lo que indica que el fabricante no considera el fallo en explotación activa generalizada.
FUENTE ORIGINAL
Atlassian Security Bulletin↗CURADO POR
Ricardo Burgos