CVE-2025-22167 - Jira软件数据中心和服务器路径遍历任意写入漏洞
概述
漏洞描述
此高危路径遍历(任意写入)漏洞在以下版本中引入:9.12.0、10.3.0,并在11.0.0版本中仍然存在。该路径遍历(任意写入)漏洞的CVSS评分为8.7分,允许攻击者修改Jira JVM进程可写的任何文件系统路径。
Atlassian建议Jira软件数据中心和服务器客户升级到最新版本;如果无法升级,请将实例升级到以下指定的受支持修复版本:
- Jira软件数据中心和服务器9.12:升级到大于或等于9.12.28的版本
- Jira软件数据中心和服务器10.3:升级到大于或等于10.3.12的版本
- Jira软件数据中心和服务器11.0:升级到大于或等于11.1.0的版本
请参阅发布说明。您可以从下载中心下载最新版本的Jira软件数据中心和服务器。此漏洞通过我们的Atlassian(内部)计划报告。
基本信息
发布日期:2025年10月22日凌晨1:16 最后修改:2025年10月22日凌晨1:16 远程利用:是! 来源:security@atlassian.com
受影响产品
以下产品受到CVE-2025-22167漏洞的影响。即使cvefeed.io知道受影响产品的确切版本,该信息也未在下表中表示。
尚无受影响产品记录
总受影响供应商:0 | 产品:0
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自各种来源的CVSS分数。
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 4.0 | 高危 | - | - | - | security@atlassian.com |
解决方案
升级Jira软件数据中心和服务器到受支持的修复版本以修补路径遍历漏洞。
- 升级到Jira软件数据中心和服务器版本9.12.28或更高版本
- 升级到Jira软件数据中心和服务器版本10.3.12或更高版本
- 升级到Jira软件数据中心和服务器版本11.1.0或更高版本
- 查阅发布说明以获取升级详细信息
咨询、解决方案和工具参考
在这里,您将找到精心策划的外部链接列表,这些链接提供与CVE-2025-22167相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://confluence.atlassian.com/pages/viewpage.action?pageId=1652920034 | Atlassian文档 |
| https://jira.atlassian.com/browse/JSWSERVER-26552 | Jira问题跟踪 |
CWE - 常见弱点枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-22167与以下CWE相关联:
路径遍历
漏洞评分详情
CVSS 4.0
基础CVSS分数:8.7
攻击向量:网络 攻击复杂性:低 攻击要求:无 所需权限:低 用户交互:无 VS机密性:高 VS完整性:高 VS可用性:高 SS机密性:无 SS完整性:无 SS可用性:无