Компания Atlassian выпустила срочные обновления безопасности для корпоративных редакций своих популярных продуктов - Jira Software и Jira Service Management. Причиной стали многочисленные критические уязвимости в сторонних библиотеках, которые могут привести к удаленному выполнению кода, атакам типа "человек посередине" и отказам в обслуживании. Данная ситуация затрагивает тысячи компаний по всему миру, использующих эти системы для управления проектами и ИТ-сервисами, что делает инцидент значимым для глобального корпоративного сектора.
Детали уязвимостей
Согласно опубликованным данным, уязвимости затрагивают версии Jira Software Data Center и Server, начиная с 9.12.8 и вплоть до 11.3.3, а также Jira Service Management Data Center и Server, начиная с 5.15.2 до 11.3.3. Среди наиболее серьезных проблем выделяется уязвимость CVE-2024-47875, оцененная как критическая с максимальным баллом 10.0 по шкале CVSS. Она связана с библиотекой DOMPurify и представляет собой мутационный межсайтовый скриптинг, или mXSS (mutation Cross-Site Scripting). Данная атака позволяет обходить стандартные механизмы очистки HTML-кода, что в итоге может привести к выполнению произвольного вредоносного кода в браузере пользователя при просмотре специально сконструированной страницы в Jira. Не менее опасна и уязвимость CVE-2022-1471 в библиотеке SnakeYaml для парсинга YAML, которая также оценивается как критическая с баллом 9.8. Её эксплуатация при десериализации данных позволяет злоумышленнику добиться удаленного выполнения кода на сервере, что является одной из наиболее опасных угроз для корпоративной инфраструктуры.
Помимо этого, в списке присутствуют уязвимости, ведущие к отказам в обслуживании, например, CVE-2023-1370 в библиотеке json-smart и CVE-2026-25547 в компоненте brace-expansion. Их эксплуатация может привести к исчерпанию вычислительных ресурсов сервера или его аварийному завершению из-за обработки специально сформированных данных, что парализует работу всей системы управления задачами. Кроме того, выявлены проблемы с авторизацией, такие как CVE-2025-48734 в библиотеке commons-beanutils, которые могут позволить несанкционированный доступ, и уязвимости для атак типа "человек посередине", например, CVE-2021-0341 в okhttp и CVE-2021-31597 в xmlhttprequest-ssl, способные привести к перехвату и подмене передаваемых данных. Важно отметить, что Atlassian подчеркивает, что данные уязвимости находятся в сторонних зависимостях, а не в собственном коде продуктов, и оценивает реальные риски для своих клиентов как более низкие, однако выпуск патчей считает обязательным.
Эксперты в области кибербезопасности обращают внимание на контекст данного инцидента. Он ярко иллюстрирует одну из ключевых современных проблем - управление цепочкой поставок программного обеспечения, или Software Supply Chain. Корпоративное ПО, такое как Jira, строится на сотнях сторонних библиотек с открытым исходным кодом. Уязвимость в любой из них, даже самой малозаметной, может поставить под угрозу безопасность всей системы. Между тем, атаки на цепочки поставок становятся всё более изощренными и частыми, поскольку позволяют злоумышленникам нанести удар по многим организациям одновременно через единую точку входа. Ситуация с Jira демонстрирует, насколько критически важным становится для компаний не только своевременное обновление основного ПО, но и мониторинг безопасности всех используемых в нём компонентов.
Последствия эксплуатации этих уязвимостей для бизнеса могут быть крайне серьёзными. Удаленное выполнение кода открывает путь для полного захвата контроля над сервером Jira, что может привести к массовой утечке конфиденциальных данных проектов, коммерческой тайны, персональных данных сотрудников и клиентов. В свою очередь, успешная атака на отказ в обслуживании способна парализовать рабочие процессы на часы или даже дни, что выльется в прямые финансовые потери из-за простоя и срыва сроков. Атаки типа "человек посередине" могут быть использованы для перехвата учетных данных администраторов или для подмены контента внутри системы, что также ведет к компрометации данных.
Atlassian рекомендует пользователям как можно скорее обновиться до исправленных версий: для Jira Software Data Center и Jira Service Management Data Center это версии 11.3.4 или 10.3.19, помеченные как LTS (долгосрочная поддержка). Для серверных редакций Jira Software Server и Jira Service Management Server, поддержка которых официально прекращена, компания настоятельно советует мигрировать на облачную или Data Center-версию продукта, чтобы продолжать получать обновления безопасности. В качестве временных мер защиты специалисты советуют ограничить сетевой доступ к интерфейсам администрирования Jira, реализовать строгие правила сегментации сети и обеспечить мониторинг подозрительной активности с помощью систем класса SIEM (Security Information and Event Management, системы управления событиями и информацией безопасности). Этот инцидент служит очередным напоминанием о том, что безопасность корпоративных систем - это непрерывный процесс, требующий оперативной реакции на поступающие угрозы и глубокого понимания архитектуры используемого программного обеспечения.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2021-0341
- https://nvd.nist.gov/vuln/detail/CVE-2021-31597
- https://nvd.nist.gov/vuln/detail/CVE-2022-1471
- https://nvd.nist.gov/vuln/detail/CVE-2023-1370
- https://nvd.nist.gov/vuln/detail/CVE-2023-3635
- https://nvd.nist.gov/vuln/detail/CVE-2024-47875
- https://nvd.nist.gov/vuln/detail/CVE-2025-48734
- https://nvd.nist.gov/vuln/detail/CVE-2026-25547
- https://confluence.atlassian.com/security/security-bulletin-april-21-2026-1770913890.html
