検出

Atlassian Jira 9.12.x < 9.12.20/10.3.x < 10.3.5/10.4.x < 10.5.1/10.6.0 (JRASERVER-78766)

high Nessus プラグイン ID 237245

Language:

概要

リモートの Atlassian Jira ホストにセキュリティ更新がありません。

説明

リモートホストで実行されている Atlassian Jira Server のバージョンは、JRASERVER-78766 アドバイザリに記載されている脆弱性の影響を受けます。

 - この深刻度高の PrivEsc (権限昇格) の脆弱性は、次のバージョンで導入されました。Jira Core Data Center および Server の 9.12.0、10.3.0、10.4.0、10.5.0。Jira Service Management Data Center および Server の 5.12.0、10.3.0、10.4.0、10.5.0。この PrivEsc (権限昇格) 脆弱性 (CVSS スコア 7.2) により、攻撃者はより権限の高いユーザーとしてアクションを実行することができます。Atlassian では、Jira Core Data Center および Server、Jira Service Management Data Center および Server のお客様に最新バージョンへのアップグレードを推奨しています。それができない場合は、指定されたサポートされている修正バージョンのいずれかにインスタンスをアップグレードしてください。Jira Core Data Center および Server 9.12: 9.12.20 以降のリリースにアップグレードしてください。Jira Service Management Data Center および Server 5.12: 5.12.20 以降のリリースにアップグレードしてください。Jira Core Data Center 10.3: 10.3.5 以降のリリースにアップグレードしてください。Jira Service Management Data Center 10.3: 10.3.5 以降のリリースにアップグレードしてください。Jira Core Data Center 10.4: 10.6.0 以降のリリースにアップグレードしてください。Jira Service Management Data Center 10.4: 10.6.0 以降のリリースにアップグレードしてください。Jira Core Data Center 10.5: 10.5.1 以降のリリースにアップグレードしてください。Jira Service Management Data Center 10.5: 10.5.1 以降のリリースにアップグレードしてください。リリースノートを参照してください。Jira Core Data Center および Jira Service Management Data Center の最新バージョンは、ダウンロードセンターからダウンロードできます。この脆弱性は、Atlassian (内部) プログラムを通じて報告されました。(CVE-2025-22157)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Atlassian Jira バージョン 9.12.20、10.3.5、10.5.1、10.6.0 以降にアップグレードしてください。

参考資料

https://jira.atlassian.com/browse/JRASERVER-78766

プラグインの詳細

深刻度: High

ID: 237245

ファイル名: jira_10_6_0_jraserver-78766.nasl

バージョン: 1.1

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2025/5/26

更新日: 2025/5/26

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

Enable CGI Scanning: true

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-22157

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 7.2

Threat Score: 5.2

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/a:atlassian:jira

必要な KB アイテム: installed_sw/Atlassian JIRA

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/4/23

脆弱性公開日: 2025/5/20

参照情報

CVE: CVE-2025-22157

IAVA: 2025-A-0369