概要

Atlassianは、Jira Software Data CenterおよびServerに影響を与える深刻なパス・トラバーサル脆弱性を公表しました。この脆弱性により、認証された攻撃者がJira Java Virtual Machine (JVM) プロセスからアクセス可能なファイルを改ざんできる可能性があります。

脆弱性の詳細

この脆弱性はCVE-2025-22167として追跡されており、CVSSスコアは8.7（高）と評価されています。脆弱性の種類は「パス・トラバーサル（任意の書き込み）」であり、攻撃者は認証されたアクセス権を利用して、Jiraプラットフォーム内のパス・トラバーサル欠陥を悪用します。これにより、Jira JVMプロセスがアクセス権を持つ任意の場所に任意のファイルを書き込むことが可能になります。

この欠陥が悪用されると、展開環境におけるJVMプロセスの権限に応じて、重要なシステムファイル、設定ファイル、またはアプリケーションデータが不正に改ざんされる可能性があります。

影響を受けるバージョンと対策

この脆弱性はJira Softwareのバージョン9.12.0で初めて導入され、以下のバージョンが影響を受けます。

• 9.12.0から9.12.27まで
• 10.3.0から10.3.11まで
• 11.0.0から11.0.1まで

Atlassianはすでにこの問題に対処するためのパッチをリリースしており、影響を受けるバージョンを実行している組織は直ちにアップグレードを優先するよう強く推奨しています。具体的なアップグレードパスは以下の通りです。

• Jira Softwareバージョン9.12を使用しているユーザーは、バージョン9.12.28以降にアップグレードする必要があります。
• 10.3ブランチのユーザーは、10.3.12以降にアップグレードする必要があります。
• バージョン11.0を使用している顧客は、11.1.0以降にアップグレードする必要があります。

重要性と推奨事項

この脆弱性は、任意の書き込み機能を伴うパス・トラバーサル攻撃として分類されており、特にマルチテナント環境や共有環境では非常に危険です。CVSS v3ベクトル（CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N）は、ネットワークアクセスと有効な認証が必要であるものの、脆弱なシステムに対して高い機密性、完全性、可用性のリスクをもたらすことを示しています。

Atlassianは、潜在的な悪用が発生する前に組織がシステムにパッチを適用できるよう、この内部セキュリティ調査結果を透明性をもって開示しています。Jira Software Data CenterおよびServerのすべての顧客は、最新バージョンへのアップグレードを強く推奨されています。

---

元記事: https://gbhackers.com/jira-vulnerability-lets-attackers-alter-files-accessible/