Atlassian发布12月安全公告，表示在过去一个月中针对旗下数据中心与服务器自托管产品更新版本，累计修补37项高严重性漏洞和9项关键严重性的第三方组件漏洞。Atlassian建议用户将系统升级至最新版本，或至少升级至公告中列出的已修补版本，以消除受影响的依赖组件风险。

在本次公告列出的多项漏洞中，CVSS评分为10分的Apache Tika XXE弱项CVE-2025-66516最受关注。Atlassian在Bamboo、Confluence、Jira Software、Jira Service Management等产品条目中均列出了该CVE，并同样出现在Crowd与Fisheye/Crucible的条目中。Atlassian也提醒，该漏洞属于第三方依赖组件问题，经其评估在自家产品实际使用场景下风险较低，但仍已在新版中予以修复。

Apache Tika是常见的内容分析与元数据抽取工具，企业系统常用于后端自动解析用户上传或批量导入的文件。根据NVD描述，CVE-2025-66516属于通过PDF内特制XFA内容触发XML外部实体（XML External Entity，XXE）漏洞的问题。当后端解析流程处理到该文件时，攻击者可能借此读取敏感数据，或触发对内部资源或第三方服务器的非预期请求，风险包括信息泄露与服务器端请求伪造（Server-Side Request Forgery，SSRF）。

Atlassian列出了各产品针对CVE-2025-66516的修复版本：Bamboo在12.0.2、10.2.12 LTS与9.6.20 LTS之后完成修复；Confluence对应10.2.1 LTS、9.2.12与8.5.30 LTS；Jira Software与Jira Service Management建议升级至11.3.0 LTS或10.3.15 LTS等已修复版本。Atlassian同时强调，安全公告中披露的CVE均已评估对客户属于非关键风险，若出现需要立即处置的漏洞，将另行发布关键安全通报。

除了Apache Tika之外，Atlassian在同一份公告中还列出了多项影响范围较广的修复，例如Confluence修复了SSRF漏洞CVE-2024-29415，并处理了loader-utils相关的原型污染风险CVE-2022-37601。Jira与Jira Service Management除列入CVE-2025-66516外，还在同一公告中列出了XXE相关的CVE-2025-54988，以及axios依赖组件的SSRF风险CVE-2025-27152。Bitbucket方面，Atlassian指出已在新版本中修复了一项第三方依赖组件的拒绝服务漏洞CVE-2024-7254。