CVE-2026-21571 : injection commande Atlassian Bamboo (9.4)

Les faits

Le 21 avril 2026, Atlassian a publié son bulletin de sécurité mensuel corrigeant CVE-2026-21571, une vulnérabilité critique d'injection de commande OS affectant Bamboo Data Center & Server. Avec un score CVSS 3.1 de 9,4, la faille permet à un attaquant distant disposant de privilèges minimaux d'exécuter des commandes système arbitraires sur le serveur Bamboo, ouvrant la voie à une compromission complète des pipelines CI/CD de l'organisation. Bamboo est utilisé par de nombreuses entreprises pour orchestrer leurs builds, tests et déploiements automatisés, ce qui fait de toute compromission un point de bascule stratégique vers l'ensemble de l'infrastructure de livraison logicielle. La faille a été signalée via le programme de bug bounty d'Atlassian et corrigée dans le même bulletin qui inclut 31 vulnérabilités de sévérité élevée et 7 critiques tierces.

L'exploitation requiert une authentification de bas niveau mais aucune interaction utilisateur, et se fait via le vecteur réseau. Selon l'advisory Atlassian Security Bulletin du 21 avril 2026, les versions vulnérables couvrent les branches 9.6, 10.0, 10.1, 10.2, 11.0, 11.1, 12.0 et 12.1 de Bamboo Data Center & Server. Atlassian recommande de mettre à jour vers les versions correctives 9.6.25, 10.2.18 ou 12.1.6 selon la branche LTS utilisée. Aucun workaround officiel n'a été publié : l'application du patch est la seule remédiation certifiée par Atlassian.

Cette faille s'inscrit dans un paysage de plus en plus dense d'injections de commandes critiques dans les outils DevOps, à l'image de CVE-2026-32604 affectant Spinnaker ou de CVE-2026-34197 sur Apache ActiveMQ ajoutée au KEV CISA. Les chaînes CI/CD sont désormais des cibles prioritaires pour les attaquants cherchant à compromettre la supply chain logicielle.

Impact et exposition

Toute instance Bamboo Data Center ou Server exposée en interne ou sur internet avec une version vulnérable est directement concernée. L'exécution de code OS sur un serveur Bamboo signifie typiquement un accès au niveau du compte de service Bamboo, souvent configuré avec des droits élevés pour orchestrer des déploiements vers la production. L'attaquant peut alors accéder aux secrets de pipeline (clés SSH, tokens API, credentials cloud), récupérer le code source privé, injecter du code malveillant dans les artefacts de build ou pivoter vers les environnements de production connectés. Le risque de supply chain attack est donc majeur.

Les équipes DevSecOps doivent considérer leur instance Bamboo comme un système de classification « tier 0 » au même titre qu'un contrôleur Active Directory. L'exposition réseau doit être strictement limitée aux utilisateurs authentifiés via VPN ou zero trust network access, et les secrets de pipeline doivent être audités pour détecter toute utilisation anormale depuis le 1er avril 2026. Cette faille s'ajoute aux vulnérabilités critiques récentes sur les outils d'infrastructure comme CVE-2026-20180 sur Cisco ISE et CVE-2026-27681 sur SAP BPC/BW.

Recommandations immédiates

• Mettre à jour immédiatement Bamboo Data Center & Server vers 9.6.25 (branche 9.6), 10.2.18 (branche 10.2) ou 12.1.6 (branche 12.1) selon l'advisory Atlassian Security Bulletin du 21 avril 2026.
• Restreindre l'accès réseau à Bamboo aux seuls utilisateurs authentifiés via VPN ou reverse proxy authentifiant, jamais d'exposition directe sur internet.
• Auditer les logs Bamboo des 30 derniers jours pour détecter des créations de plans suspects, des modifications de tâches de build ou des utilisations inhabituelles de l'API REST.
• Rotation des secrets de pipeline : clés SSH, tokens API Git, credentials cloud (AWS/Azure/GCP), certificats de déploiement.
• Renforcer l'isolation du compte de service Bamboo : principe du moindre privilège, utilisation de managed identities plutôt que de credentials long-lived.