江苏
关键词
安全漏洞
Atlassian 公布了一项严重漏洞,影响 Jira Software Data Center 和 Server 版本,该漏洞允许经过身份验证的攻击者修改 Jira Java 虚拟机(JVM)进程可访问的文件。
这一漏洞编号为CVE-2025-22167,类型为路径遍历(Path Traversal)导致的任意文件写入问题,CVSS v3.1 评分为8.7,属于高危等级。漏洞最早出现在 2025 年 9 月发布的 Jira Software 9.12.0 版本中,并影响多个分支版本,包括 9.12.0 至 9.12.27、10.3.0 至 10.3.11 以及 11.0.0 至 11.0.1。
漏洞成因在于 Jira 平台存在路径遍历缺陷,攻击者在具备合法访问权限的情况下,能够通过精心构造的请求向任意路径写入文件,只要该路径在 JVM 进程权限范围内。这意味着攻击者可能篡改系统关键文件、配置文件或应用数据,从而破坏系统完整性,甚至导致 Jira 服务不可用。由于漏洞允许任意写入操作,其风险在多租户或共享环境中尤为突出。
Atlassian 表示该问题由内部安全团队首先发现,并已在最新版本中完成修复。官方建议所有使用 Jira Software Data Center 或 Server 的组织立即升级至最新版本,以防止潜在攻击。对于暂时无法立即更新的用户,Atlassian 提供了分支修复路径:运行 9.12 版本的用户应升级至 9.12.28 或更高版本;运行 10.3 分支的用户需升级至 10.3.12 或更高版本;使用 11.0 版本的用户则应升级到 11.1.0 或更高版本。
根据 CVSS 向量
(CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
,该漏洞需要网络访问和身份认证,但其对系统的机密性、完整性和可用性影响均为高风险。由于 Jira 广泛部署于企业级项目管理和问题跟踪系统中,这一漏洞的潜在影响面十分广泛。
Atlassian 主动披露这一安全问题,使得各机构能够在漏洞被利用前及时采取防御措施并完成修补。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
