Jira中存在权限漏洞，可导致攻击者篡改Jira JVM进程有权访问的文件

Atlassian披露了Jira Software Data Center和Server版本中存在的一个严重路径遍历漏洞，该漏洞可使已认证攻击者修改Jira Java虚拟机（JVM）进程可访问的文件。

该漏洞编号为CVE-2025-22167，严重级别为高，CVSS评分为8.7，影响自2025年9月以来的多个产品版本。

漏洞允许已认证攻击者利用Jira平台中的路径遍历缺陷，通过向JVM进程有权限访问的任意位置写入文件，潜在破坏系统完整性。

根据部署环境中JVM进程的权限，攻击者可能对关键系统文件、配置文件或应用数据进行未授权修改。

受影响版本与时间线

漏洞最早在Jira Software 9.12.0版本中引入，受影响版本涵盖多个发布分支：

1. 9.12.0至9.12.27
2. 10.3.0至10.3.11
3. 11.0.0至11.0.1

Atlassian报告称该缺陷由内部发现，并已发布补丁修复。运行易受攻击版本的组织应优先立即升级以应对威胁。

Atlassian强烈建议所有Jira Software Data Center和Server客户升级至最新可用版本。

对于无法立即部署最新版本的组织，Atlassian提供了基于当前版本分支的特定升级路径：

1. 运行Jira Software 9.12版本的用户应升级至9.12.28或更高版本；
2. 10.3分支用户需升级至10.3.12或更高版本；
3. 11.0版本客户应升级至11.1.0或更高版本。

高风险特性与影响范围

该漏洞被归类为具有任意写入能力的路径遍历攻击，在多租户或共享环境中尤为危险。

CVSS v3向量（CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N）表明，漏洞需网络访问和有效认证，但会对易受攻击系统造成高机密性、完整性和可用性风险。

漏洞同时影响Jira Software的Data Center和Server安装版本，这对使用这些平台进行项目管理和问题跟踪的企业构成了广泛担忧。

Atlassian对内部安全发现的透明披露，为组织在潜在利用发生前提供了充足的时间来修补系统。