Atlassian a publié un avis de sécurité urgent concernant une vulnérabilité importante de traversée de chemin découverte dans les éditions Jira Software Data Center et Server. Cette faille de sécurité permet aux utilisateurs authentifiés d’écrire des fichiers à n’importe quel emplacement accessible par le processus de la machine virtuelle Java, compromettant potentiellement l’intégrité du système.
Aperçu de la vulnérabilité
Le problème de sécurité, désigné CVE-2025-22167, présente une note de gravité de 8,7 sur l’échelle CVSS. Il affecte les versions de Jira Software allant de 9.12.0 à 11.0.1. L’équipe de sécurité d’Atlassian a identifié cette vulnérabilité lors de tests internes, ce qui a conduit à la publication immédiate de correctifs de sécurité.
Les entreprises utilisant Jira pour le suivi de projets et la gestion pourraient faire face à de graves conséquences, notamment la modification non autorisée de données et des interruptions potentielles de service sans mises à jour de sécurité appropriées.
Détails techniques de la faille de sécurité
La vulnérabilité provient d’une validation insuffisante lors du traitement des chemins de fichiers pendant les opérations d’entrée. Les attaquants qui possèdent des informations d’authentification de base peuvent exploiter cette faiblesse en contournant les contrôles de sécurité normaux des chemins.
Grâce à des requêtes réseau spécialement construites, les acteurs malveillants peuvent insérer des motifs de traversée de chemin tels que “../” pour accéder et modifier des fichiers dans des répertoires au-delà de leur portée autorisée. Tout emplacement où la JVM possède des privilèges d’écriture devient une cible potentielle d’exploitation.
La faille de sécurité est apparue pour la première fois dans les versions 9.12.0 et 10.3.0, se poursuivant dans la série de versions 11.0 jusqu’à ce qu’Atlassian y remédie dans les versions 9.12.28, 10.3.12 et 11.1.0.
Selon le bulletin de sécurité d’Atlassian, la vulnérabilité ne nécessite aucune interaction de l’utilisateur et peut être exploitée par des attaques basées sur le réseau avec une complexité technique minimale, rendant l’exploitation à distance simple.
Impact potentiel sur les organisations
Bien que classée principalement comme une vulnérabilité d’écriture de fichier arbitraire, cette faille pourrait faciliter l’accès non autorisé aux données lorsqu’elle est exploitée conjointement avec d’autres faiblesses de sécurité, permettant potentiellement le vol de données ou l’exécution de code malveillant.
Les organisations utilisant Jira pour le développement logiciel ou la gestion de services informatiques font face à de multiples risques :
- Corruption des fichiers de configuration système
- Modification non autorisée des informations de projet
- Déploiement potentiel de logiciels malveillants
- Perturbation opérationnelle
- Violations de la conformité réglementaire
L’impact substantiel sur l’intégrité et la disponibilité du système signifie que les attaquants pourraient éliminer les journaux d’audit, altérer les bases de données ou déclencher des conditions de déni de service en écrasant des fichiers système essentiels.
Les industries soumises à des exigences réglementaires strictes, y compris les services financiers et les soins de santé, pourraient subir une exposition indirecte de propriété intellectuelle sensible ou d’informations confidentielles.
Bien qu’aucun code d’exploitation public n’ait été publié, la barrière d’entrée relativement faible – nécessitant uniquement une authentification d’utilisateur standard – rend cette vulnérabilité particulièrement préoccupante pour les instances Jira accessibles depuis Internet.
Actions de sécurité recommandées
Atlassian recommande fortement le déploiement immédiat des versions corrigées :
- Version 9.12.28 ou plus récente pour la série de versions 9.x
- Version 10.3.12 ou supérieure pour les installations 10.x
- Version 11.1.0 ou ultérieure pour la branche la plus récente
Les organisations incapables de déployer immédiatement les mises à niveau complètes devraient prioriser ces niveaux de correctifs minimums et consulter la documentation de version d’Atlassian pour des informations complètes.
En tant que mesures de protection temporaires jusqu’à ce que la correction soit terminée :
- Limiter les autorisations d’accès au système de fichiers pour les processus JVM
- Implémenter la segmentation réseau pour restreindre l’accès
- Déployer des solutions de surveillance pour détecter les modifications inhabituelles du système de fichiers
- Maintenir des sauvegardes à jour
- Effectuer des audits de sécurité pour identifier les compromissions potentielles
Cette vulnérabilité découverte en interne démontre l’engagement d’Atlassian envers des pratiques de sécurité proactives. Cependant, les organisations qui retardent le déploiement des correctifs risquent de devenir des cibles d’exploitation dans un environnement de menaces de plus en plus hostile.
Compte tenu de l’adoption généralisée de Jira par plus de 200 000 organisations dans le monde, une remédiation immédiate est essentielle pour maintenir des opérations sécurisées et protéger les flux de travail critiques.