Vulnerabilitatea critică Apache Roller permite persistența sesiunii neautorizate

O vulnerabilitate critică de securitate a fost dezvăluită în software-ul server-ului de blogging Apache Roller, open-source, bazat pe Java, care ar putea permite atacatorilor să păstreze accesul neautorizat chiar și după schimbarea parolei.

Vulnerabilitatea, căreia i-a fost atribuit identificatorul CVE-2025-24859, scor CvSS 10/10, indicând un grad de seritate critic. Acesta afectează toate versiunile de Roller până la 6.1.4 inclusiv.

Există o vulnerabilitate de gestionare a sesiunilor în Apache Roller anterior versiunii 6.1.5, în care sesiunile utilizatorilor activi nu sunt invalidate în mod corespunzător după schimbarea parolei, au semnalat specialiștii.

Exploatarea cu succes a acesteia ar putea permite unui atacatori să mențină accesul continuu la aplicație prin intermediul sesiunilor vechi, chiar și după schimbarea parolei. De asemenea, ar putea permite accesul fără restricții în cazul în care credențialele au fost compromise.

Vulnerabilitatea a fost abordată în versiunea 6.1.5 prin implementarea gestionării centralizate a sesiunilor, astfel încât toate sesiunile active să fie invalidate atunci când parolele sunt schimbate sau utilizatorii sunt dezactivați.

Dezvăluirea vine la câteva săptămâni după ce a fost prezentată o altă vulnerabilitate critică în biblioteca Java a Apache Parquet (CVE-2025-30065, scor CvSS: 10/10) care, dacă este exploatată cu succes, ar putea permite unui atacator de la distanță să execute cod arbitrar pe sistemele vulnerabile.

Luna trecută, o eroare de securitate critică ce afectează Apache Tomcat (CVE-2025-24813, scor CvSS: 9,8/10) a fost exploatată în mod activ la scurt timp după ce detaliile vulnerabilității au devenit publice.

Sursă: https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html