A Atlassian divulgou uma falha crítica no Bamboo Data Center e Server que pode permitir a execução de comandos no sistema operacional e comprometer servidores usados em pipelines de integração e entrega contínua.
A vulnerabilidade, identificada como CVE-2026-21571, recebeu pontuação 9,4 e afeta múltiplas linhas do produto. O problema foi classificado como injeção de comandos no sistema operacional.
Na prática, um invasor autenticado pode abusar da falha para executar comandos arbitrários no servidor subjacente, abrindo caminho para tomada de controle do ambiente, movimentação lateral e acesso a dados sensíveis.
Segundo a Atlassian, estão no grupo afetado versões de Bamboo entre as famílias 9.6.x, 10.0.x, 10.1.x, 10.2.x, 11.0.x, 12.0.x e 12.1.x, dentro dos intervalos divulgados no boletim de segurança.
O alcance preocupa porque o Bamboo costuma ocupar posição estratégica no ciclo de desenvolvimento corporativo. Em ambientes de CI/CD, uma falha desse tipo vai além do servidor exposto.
O risco inclui adulteração de artefatos de build, abuso de credenciais armazenadas em jobs e eventual inserção de código malicioso em fluxos internos de desenvolvimento, com potencial de ampliar o impacto para a cadeia de software.
A recomendação da fabricante é atualizar para versões corrigidas. Entre os releases apontados como referência estão 12.1.6, 10.2.18 e 9.6.25, de acordo com a linha em uso e o suporte disponível.
Enquanto a correção não é aplicada, reduzir a exposição administrativa do Bamboo e restringir o acesso de usuários e redes confiáveis pode diminuir a superfície de ataque.
