Критическая уязвимость в Atlassian Jira угрожает корпоративным системам управления проектами

Компания Atlassian объявила о выявлении критической уязвимости типа path traversal (обход путей) в продуктах Jira Software Data Center и Server, которая может позволить аутентифицированным злоумышленникам модифицировать файлы, доступные процессу Jira Java Virtual Machine (JVM). Уязвимость, получившая идентификатор CVE-2025-22167, оценивается как высокоопасная с баллом CVSS 8.7 и затрагивает множество версий программного обеспечения, выпущенных начиная с сентября 2025 года.

Детали уязвимости

Техническая суть проблемы заключается в возможности эксплуатации недостатков проверки входных данных в платформе Jira. Аутентифицированные злоумышленники могут использовать эту уязвимость для записи произвольных файлов в любые местоположения, к которым процесс Jira JVM имеет права доступа. Это создает серьезные риски для целостности систем, поскольку потенциально позволяет изменять критические системные файлы, конфигурации приложения или пользовательские данные в зависимости от разрешений процесса JVM в конкретной среде развертывания.

Уязвимость впервые появилась в версии Jira Software 9.12.0 и распространяется на несколько веток выпусков: с 9.12.0 по 9.12.27, с 10.3.0 по 10.3.11, а также версии 11.0.0 и 11.0.1. Особую озабоченность вызывает классификация данной проблемы как атаки обхода путей с возможностью произвольной записи, что делает ее особенно опасной в многопользовательских или разделяемых средах.

Вектор оценки CVSS v3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) указывает на то, что для эксплуатации уязвимости необходим сетевой доступ и действительная аутентификация, однако при этом создаются высокие риски для конфиденциальности, целостности и доступности уязвимых систем. Отсутствие требований к взаимодействию с пользователем (UI:N) повышает потенциал для скрытой эксплуатации.

Atlassian сообщила, что уязвимость была обнаружена в ходе внутреннего аудита безопасности, что демонстрирует эффективность собственных процессов контроля качества компании. Уже выпущены патчи для устранения проблемы, и организациям, использующим уязвимые версии, рекомендуется незамедлительно установить обновления.

Для пользователей различных версий продукта компания предоставила конкретные пути обновления. Организации, использующие Jira Software версии 9.12, должны перейти на версию 9.12.28 или новее. Те, кто работает на ветке 10.3, нуждаются в обновлении до версии 10.3.12 или выше. Клиенты, использующие версию 11.0, должны перейти на 11.1.0 или более поздние выпуски.

Масштаб потенциального воздействия является значительным, поскольку уязвимость затрагивает как Data Center, так и Server установки Jira Software, что делает эту проблему актуальной для множества предприятий, использующих данные платформы для управления проектами и отслеживания задач. В корпоративной среде Jira часто интегрирована с другими бизнес-системами, что потенциально может привести к каскадным последствиям в случае успешной эксплуатации уязвимости.

Прозрачность Atlassian в раскрытии данной внутренней находки безопасности предоставляет организациям достаточное время для установки исправлений до возможного появления эксплойтов в дикой природе. Такой подход соответствует лучшим практикам ответственного раскрытия уязвимостей и позволяет минимизировать окно возможностей для злоумышленников.

Специалисты по кибербезопасности рекомендуют организациям не только применить соответствующие патчи, но и пересмотреть права доступа процессов JVM в своих средах, реализовав принцип наименьших привилегий. Дополнительные меры мониторинга и сегментации сети также могут помочь снизить потенциальные риски, связанные с данной уязвимостью.

Регулярное обновление программного обеспечения остается ключевым элементом стратегии кибербезопасности для организаций любого размера. Своевременная установка исправлений для критических уязвимостей, подобных CVE-2025-22167, является essential мерой защиты от постоянно развивающихся киберугроз.

Детали уязвимости

Ссылки