Jira路径遍历漏洞(CVE-2025-22167)允许在服务器/数据中心任意写入文件
Atlassian已发布补丁修复一个影响Jira软件数据中心和服务器以及Jira服务管理数据中心和服务器的高危路径遍历漏洞(CVE-2025-22167)。该漏洞CVSS评分为8.7分,允许攻击者在运行易受攻击Jira版本的系统上执行任意文件写入,如果与其他漏洞利用链结合,可能导致数据损坏或远程代码执行。
“这个路径遍历(任意写入)漏洞的CVSS评分为8.7分,允许攻击者修改Jira JVM进程可写的任何文件系统路径,“Atlassian在其公告中警告。
该漏洞(追踪为CVE-2025-22167)在Jira软件版本9.12.0和10.3.0中引入,一直持续到11.0.0版本。对于Jira服务管理,该问题在版本5.12.0和10.3.0中引入。
Atlassian的工程师确认,利用此漏洞可能允许具有Jira Web界面网络访问权限的攻击者向Jira JVM进程可写的任何路径写入任意数据,根据系统设置的不同,可实现从篡改配置到实现远程代码执行的一系列后利用场景。
该问题影响多个处于企业主动部署中的Atlassian产品线:
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| Jira软件数据中心和服务器 | 9.12.0–11.0.0 | 9.12.28+, 10.3.12+, 11.1.0+ |
| Jira服务管理数据中心和服务器 | 5.12.0–10.3.0 | 5.12.29+, 10.3.12+ |
Atlassian建议立即升级到列出的已修复版本或更高版本。
“Atlassian建议Jira软件数据中心和服务器客户升级到最新版本;如果无法这样做,请将实例升级到指定的受支持修复版本之一,“公告中写道。