Atlassian Confluence / Jira : exécution de code à distance, mise à jour urgente sur les instances self-hosted
Le CERT-FR alerte sur environ 24 CVE affectant Confluence Data Center, Jira Software et Jira Service Management. Exécution de code à distance confirmée sur certaines versions, en plus de DoS, atteinte à la confidentialité et XSS. Si votre instance Atlassian est self-hosted ET exposée internet, c'est une mise à jour à appliquer dans les 48 heures.
- Référence : CERTFR-2026-AVI-0479, ~24 CVE
- Impact : RCE, DoS, fuite de données, contournement politiques, XSS
- Versions sûres Confluence : Data Center 9.2.19 ou 10.2.10+
- Action : patcher sous 48h si self-hosted exposé internet
Pourquoi c'est critique pour les PME tech
Confluence est l'outil de documentation interne par défaut dans beaucoup de PME tech B2B SaaS, ESN, et services numériques français. Il contient typiquement : runbooks opérationnels, secrets API documentés, plans d'architecture, procédures incident, documents RH. Une compromission Confluence donne à l'attaquant la cartographie complète de votre SI.
Jira Software est l'outil de gestion de projet et tracking des tickets. Une compromission Jira donne accès à l'historique des bugs (y compris failles de sécurité fixées et leur détail technique), aux noms des clients dans les tickets de support, aux roadmaps produit.
RCE (Remote Code Execution) signifie qu'un attaquant peut exécuter du code sur votre serveur Confluence/Jira sans authentification. En pratique : récupérer la base de données, déposer un webshell, pivoter dans le réseau interne.
Versions affectées
| Produit | Versions affectées | Patch |
|---|---|---|
| Confluence Data Center | avant 9.2.19, 10.x avant 10.2.10 | 9.2.19 ou 10.2.10+ |
| Jira Software (DC + Server) | consulter bulletin Atlassian | selon version installée |
| Jira Service Management | consulter bulletin Atlassian | selon version installée |
Bonne nouvelle : si vous utilisez Atlassian Cloud (atlassian.net), les patches sont appliqués automatiquement par Atlassian. Aucune action de votre côté. Cet article concerne uniquement les déploiements self-hosted (Server, Data Center).
Êtes-vous concerné ?
Si vous répondez OUI à au moins une question, agissez sous 48 heures :
- Avez-vous une instance Confluence self-hosted (Server ou Data Center) ?
- Avez-vous une instance Jira Software ou Jira Service Management self-hosted ?
- L'instance est-elle accessible depuis internet (sans VPN obligatoire) ?
- L'instance contient-elle des documents techniques sensibles (architecture, secrets, roadmap) ?
Quoi faire concrètement
- 1Identifier la version : se connecter à l'admin Confluence/Jira, vérifier la version dans Administration générale > Informations système.
- 2Sauvegarde complète : avant tout patch, snapshot de la base de données + dump des fichiers attachés. Une mise à jour Atlassian peut introduire des incompatibilités plugins. Plan B obligatoire.
- 3Bloquer l'accès internet temporairement : si self-hosted exposé, désactiver l'accès public le temps du patch (firewall, ACL). Imposer le VPN pour l'admin uniquement.
- 4Patcher : suivre la procédure officielle Atlassian (download, arrêt service, déploiement, redémarrage). Tester avec un compte non-admin avant de rouvrir au public.
- 5Audit des logs sur la période 1 mars - 22 avril 2026 : cette publication CERT-FR consolide des CVE qui datent de plusieurs semaines. Vérifier les accès admin inhabituels, les nouveaux comptes, les déploiements de plugins inconnus.
- 6Considérer Atlassian Cloud : si votre PME peine à patcher rapidement les CVE Atlassian, la migration vers Atlassian Cloud (les patches sont gérés par l'éditeur) peut être pertinente. Coût comparable, risque opérationnel divisé.
Pour aller plus loin
Une RCE non patchée transforme A.8.8 (vulnérabilités) et A.5.7 (veille menaces) en NC majeure.
L'auditeur COFRAC vérifie en pratique : « Quel est votre délai moyen de patch sur les CVE critiques (CVSS ≥ 9) ? » La cible saine pour une PME mature est inférieure à 7 jours. Au-delà de 30 jours sur une CVE publiée, NC quasi-certaine.
Voir la fiche A.8.7 dans l'Académie