官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Atlassian公司已发布补丁,修复影响Jira Software数据中心与服务器版以及Jira Service Management数据中心与服务器版的高危路径遍历漏洞(CVE-2025-22167)。该漏洞CVSS评分为8.7分,攻击者可借此在运行受影响Jira版本的系统上执行任意文件写入操作,若与其他漏洞利用链结合,可能导致数据损坏或远程代码执行。
Atlassian在安全公告中警告称:"这个CVSS评分8.7的路径遍历(任意写入)漏洞,允许攻击者修改Jira JVM进程可写入的任何文件系统路径。"
漏洞影响范围
该漏洞编号为CVE-2025-22167,最初出现在Jira Software 9.12.0和10.3.0版本中,并持续存在于11.0.0版本。对于Jira Service Management,该问题始于5.12.0和10.3.0版本。
Atlassian工程师确认,攻击者通过网络访问Jira Web界面后,可利用该漏洞向Jira JVM进程可写入的任何路径写入任意数据。根据系统配置不同,可能引发从配置篡改到远程代码执行等一系列攻击后果。
受影响产品及修复版本
该漏洞影响Atlassian多款企业级产品:
| 产品 | 受影响版本 | 已修复版本 |
|---|---|---|
| Jira Software数据中心与服务器版 | 9.12.0–11.0.0 | 9.12.28+, 10.3.12+, 11.1.0+ |
| Jira Service Management数据中心与服务器版 | 5.12.0–10.3.0 | 5.12.29+, 10.3.12+ |
Atlassian建议立即升级至上述已修复版本或更高版本。公告强调:"Atlassian建议Jira Software数据中心与服务器版用户升级至最新版本;若无法立即升级,请至少升级至指定的修复版本。"
参考来源:
Jira Path Traversal Flaw (CVE-2025-22167) Allows Arbitrary File Write on Server/Data Center
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)