Atlassian đã công bố một lỗ hổng CVE nghiêm trọng, định danh là CVE-2025-22167, ảnh hưởng đến Jira Software Data Center và Server. Lỗ hổng này thuộc loại path traversal, cho phép kẻ tấn công đã xác thực sửa đổi các tệp mà tiến trình Jira Java Virtual Machine (JVM) có quyền truy cập. Mức độ nghiêm trọng của lỗ hổng được đánh giá ở mức cao với điểm CVSS là 8.7.

CVE-2025-22167 có thể dẫn đến việc thay đổi trái phép các tệp hệ thống quan trọng, tệp cấu hình, hoặc dữ liệu ứng dụng. Mức độ ảnh hưởng phụ thuộc vào quyền của tiến trình JVM trong môi trường triển khai.

Tổng quan về CVE nghiêm trọng: Lỗ hổng Atlassian Jira CVE-2025-22167

Bản chất kỹ thuật của Path Traversal

Lỗ hổng này cho phép kẻ tấn công lợi dụng một lỗi path traversal để ghi các tệp tùy ý vào bất kỳ vị trí nào mà tiến trình Jira JVM có quyền truy cập. Đây là một điểm yếu đặc biệt nguy hiểm trong các môi trường đa người thuê (multi-tenant) hoặc chia sẻ.

Khai thác thành công có thể làm suy yếu tính toàn vẹn của hệ thống, dẫn đến việc sửa đổi các tệp quan trọng. Điều này bao gồm khả năng thay đổi cấu hình ứng dụng, chèn mã độc hoặc thực thi các lệnh trái phép trên máy chủ.

Phân loại và Mức độ nghiêm trọng theo CVSS 4.0

Lỗ hổng CVE-2025-22167 được phân loại là nghiêm trọng với điểm CVSS 8.7. Vector CVSS v4.0 được xác định là:

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Giải thích các chỉ số chính của vector CVSS:

• AV:N (Attack Vector: Network): Kẻ tấn công có thể khai thác lỗ hổng qua mạng.
• AC:L (Attack Complexity: Low): Độ phức tạp của cuộc tấn công thấp.
• AT:N (Attack Requirements: None): Không có yêu cầu đặc biệt về phía nạn nhân.
• PR:L (Privileges Required: Low): Yêu cầu đặc quyền thấp (chỉ cần quyền xác thực cơ bản).
• UI:N (User Interaction: None): Không yêu cầu tương tác của người dùng.
• VC:H (Confidentiality Impact: High): Ảnh hưởng cao đến tính bảo mật của dữ liệu.
• VI:H (Integrity Impact: High): Ảnh hưởng cao đến tính toàn vẹn của dữ liệu và hệ thống.
• VA:H (Availability Impact: High): Ảnh hưởng cao đến tính sẵn sàng của dịch vụ.
• SC:N, SI:N, SA:N (Subsequent System Impact: None): Không có tác động tiếp theo đến các hệ thống khác.

Các chỉ số này chỉ ra rằng lỗ hổng CVE có thể bị khai thác dễ dàng và gây ra rủi ro nghiêm trọng đến bảo mật, toàn vẹn và tính sẵn sàng của các hệ thống bị ảnh hưởng.

Các phiên bản Atlassian Jira bị ảnh hưởng và lịch sử phát hiện

Chi tiết về các phiên bản dễ bị tấn công

Lỗ hổng này được giới thiệu lần đầu tiên trong phiên bản Jira Software 9.12.0. Các phiên bản Atlassian Jira bảo mật bị ảnh hưởng trải dài trên nhiều nhánh phát hành:

• Phiên bản 9.12.0 đến 9.12.27
• Phiên bản 10.3.0 đến 10.3.11
• Phiên bản 11.0.0 đến 11.0.1

Lỗ hổng này ảnh hưởng đến cả phiên bản Data Center và Server của Jira Software, gây ra mối lo ngại rộng rãi cho các doanh nghiệp sử dụng nền tảng này cho quản lý dự án và theo dõi sự cố.

Quá trình phát hiện và công bố

Atlassian đã tự phát hiện lỗi này trong nội bộ và nhanh chóng phát hành các bản vá để khắc phục sự cố. Tính minh bạch trong việc công bố phát hiện bảo mật nội bộ này cho phép các tổ chức có đủ thời gian để cập nhật bản vá hệ thống trước khi các cuộc tấn công tiềm tàng xảy ra.

Thông tin chi tiết về quá trình giới thiệu lỗ hổng có thể được tìm thấy trên nền tảng của Atlassian: JSWSERVER-26552.

Khuyến nghị và biện pháp khắc phục

Hướng dẫn cập nhật bản vá khẩn cấp

Atlassian khuyến nghị mạnh mẽ tất cả khách hàng Jira Software Data Center và Server nên nâng cấp lên phiên bản mới nhất hiện có để giải quyết lỗ hổng CVE-2025-22167 này. Việc cập nhật bản vá ngay lập tức là ưu tiên hàng đầu để giảm thiểu rủi ro bảo mật.

Đối với các tổ chức chưa thể triển khai ngay bản phát hành mới nhất, Atlassian đã cung cấp các đường dẫn nâng cấp cụ thể dựa trên nhánh phiên bản hiện tại:

• Người dùng chạy Jira Software phiên bản 9.12 nên nâng cấp lên phiên bản 9.12.28 hoặc mới hơn.
• Những người trên nhánh 10.3 cần nâng cấp lên 10.3.12 hoặc cao hơn.
• Khách hàng sử dụng phiên bản 11.0 nên nâng cấp lên 11.1.0 hoặc mới hơn.

Việc không thực hiện cập nhật bản vá kịp thời có thể khiến hệ thống tiếp tục gặp rủi ro bị khai thác. Các quản trị viên hệ thống cần lên kế hoạch triển khai các bản cập nhật này ngay lập tức.

Tầm quan trọng của an toàn thông tin

Lỗ hổng này nhấn mạnh tầm quan trọng của việc duy trì an toàn thông tin và quy trình quản lý bản vá hiệu quả. Các tổ chức cần thiết lập chính sách bảo mật mạng mạnh mẽ và thường xuyên kiểm tra các hệ thống để phát hiện và khắc phục các lỗ hổng kịp thời.

Việc theo dõi các cảnh báo từ nhà cung cấp và cộng đồng bảo mật là yếu tố then chốt để bảo vệ tài sản kỹ thuật số khỏi các mối đe dọa mới nổi. Một kế hoạch ứng phó sự cố cũng cần được chuẩn bị sẵn sàng để xử lý nhanh chóng nếu hệ thống bị xâm nhập.