# Jira: CVE-2025-22157 - обход контроля доступа при Print/Export

## Сценарий
Была развернута уязвимая версия Jira. Для каждого стажера создали sub-task, к которому у него не было прав. Через уязвимость он мог увидеть название (`summary`) и ссылку на эту подзадачу, выполнив Print или Export Word у родительской задачи.

## Суть уязвимости
CVE-2025-22157 описывает утечку данных при печати/экспорте. Пользователь без доступа к подзадаче может получить ее `summary` и ссылку из результата Print/Export родительской задачи. Это не "захват админки", а обход контроля доступа на уровне экспорта.

## Проверка версии
1. Administration -> System -> System info (или About Jira).
2. Версии 9.12.0-9.12.19 уязвимы. Например, 9.12.18 попадает в диапазон.

## Шаги воспроизведения
1. Создать родительскую задачу и sub-task, ограничить доступ к sub-task.
2. Зайти под пользователем без прав.
3. Выполнить Print или Export Word у родительской задачи.
4. В результате будет виден `summary` и ссылка на sub-task.

## Влияние
- Утечка метаданных закрытых задач.
- Раскрытие структуры проекта и активности.

## Митигирование
- Обновить Jira до версии с фиксом.
- Временно ограничить Print/Export для ролей без доступа к подзадачам.

## Источники
- Atlassian Jira advisory по CVE-2025-22157
- Atlassian Documentation (диапазон версий)