Atlassian ha revelado una vulnerabilidad de path traversal de alta gravedad en Jira Software Data Center y Server que permite a atacantes autenticados escribir archivos arbitrariamente en cualquier ruta accesible por el proceso de la Java Virtual Machine (JVM). La falla, identificada como CVE-2025-22167 con una puntuación CVSS de 8.7, afecta versiones desde la 9.12.0 hasta la 11.0.1 y puede ser explotada remotamente sin interacción del usuario, poniendo en riesgo la integridad y disponibilidad de datos críticos.
CVE y severidad
| CVE | CVSS base | Severidad | Alcance |
|---|---|---|---|
| CVE-2025-22167 | 8.7 | Alta | Jira Software Data Center y Server (escritura arbitraria en sistema de archivos) |
Productos afectados
| Fabricante | Producto | Componentes | Versiones afectadas |
|---|---|---|---|
| Atlassian | Jira Software Data Center y Server | Manejo de archivos y validación de rutas | Desde 9.12.0 hasta 11.0.1 |
Solución
Actualizar a las versiones 9.12.28 o posteriores en la serie 9.x, 10.3.12 o superiores en la serie 10.x, y 11.1.0 o posteriores para la rama más reciente.
Recomendaciones
Priorizar la aplicación rápida del parche oficial para evitar explotación remota; restringir permisos de escritura del sistema de archivos a la JVM y segmentar el acceso de red para reducir la exposición. Es recomendable realizar auditorías y mantener copias de seguridad actualizadas para mitigar incidentes relacionados.