Atlassian, Jira Yazılım Veri Merkezini ve Sunucusunu etkileyen, kimliği doğrulanmış saldırganların Jira Java Sanal Makinesi (JVM) işlemi tarafından erişilebilen dosyaları değiştirmesine olanak verebilecek kritik bir yol geçiş güvenlik açığını açıkladı.
CVE-2025-22167 olarak takip edilen güvenlik açığı, 8,7 CVSS puanıyla yüksek önem derecesine sahip ve Eylül 2025’e kadar uzanan birden fazla ürün sürümünü etkiliyor.
| CVE Kimliği | CVE-2025-22167 |
| Ürün | Jira Yazılım Veri Merkezi ve Sunucusu |
| Güvenlik Açığı Türü | Yol Geçişi (Keyfi Yazma) |
| CVSS v3.1 Puanı | 8,7 (Yüksek) |
Bu güvenlik açığı, kimliği doğrulanmış erişime sahip saldırganların Jira platformundaki bir yol geçiş kusurundan yararlanmasına olanak tanır ve Jira JVM işleminin erişim iznine sahip olduğu herhangi bir konuma rastgele dosyalar yazarak potansiyel olarak sistem bütünlüğünü tehlikeye atar.
Bu, dağıtım ortamındaki JVM işlem izinlerine bağlı olarak kritik sistem dosyalarında, yapılandırma dosyalarında veya uygulama verilerinde yetkisiz değişiklikler yapılmasına yol açabilir.
Etkilenen Sürümler ve Zaman Çizelgesi
Güvenlik açığı ilk olarak Jira Yazılımının 9.12.0 sürümünde ortaya çıktı ve etkilenen sürümler 9.12.0 ila 9.12.27, 10.3.0 ila 10.3.11 ve 11.0.0 ila 11.0.1 dahil olmak üzere birden fazla sürüm dalına yayıldı.
Atlassian, bu kusuru dahili olarak keşfettiğini bildirdi ve sorunu düzeltmek için halihazırda yamalar yayınladı. Savunmasız sürümleri çalıştıran kuruluşlar, bu tehdidi ortadan kaldırmak için acil yükseltmelere öncelik vermelidir.
Atlassian, tüm Jira Yazılım Veri Merkezi ve Sunucu müşterilerinin mevcut en son sürüme yükseltme yapmalarını şiddetle tavsiye eder.
Atlassian, en son sürümü hemen dağıtamayan kuruluşlar için mevcut sürüm şubenize göre özel yükseltme yolları sağlamıştır. Jira Yazılımının 9.12 sürümünü çalıştıran kullanıcılar, 9.12.28 veya sonraki bir sürüme yükseltme yapmalıdır.
10.3 şubesindekilerin 10.3.12 veya daha yüksek bir sürüme yükseltmeleri gerekiyor. 11.0 sürümünü kullanan müşterilerin 11.1.0 veya sonraki bir sürüme yükseltme yapması gerekir.
Güvenlik açığı, rastgele yazma yeteneklerine sahip bir yol geçiş saldırısı olarak sınıflandırılıyor ve bu da onu özellikle çok kiracılı veya paylaşılan ortamlarda tehlikeli kılıyor.
CVSS v3 vektörü (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N), güvenlik açığının ağ erişimi ve geçerli kimlik doğrulaması gerektirdiğini ancak güvenlik açığı bulunan sistemler için yüksek gizlilik, bütünlük ve kullanılabilirlik riskleri sunduğunu belirtir.
Güvenlik açığı, Jira Software’in hem Veri Merkezi hem de Sunucu kurulumlarını etkiliyor ve bu durum, bu platformları proje yönetimi ve sorun takibi için kullanan kuruluşlar arasında yaygın bir endişe haline geliyor.
Atlassian’ın bu dahili güvenlik bulgusunu ifşa etmedeki şeffaflığı, kuruluşlara potansiyel istismar meydana gelmeden önce sistemlere yama yapmak için yeterli zaman tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.