Критическая уязвимость безопасности была обнаружена в Apache Roller — открытом Java-блоговом сервере с открытым исходным кодом. Она позволяет злоумышленникам сохранять несанкционированный доступ даже после смены пароля, пишет Securitylab.
Уязвимость получила идентификатор CVE-2025-24859 и оценку по шкале CVSS в 10.0 — максимальный уровень критичности. Подвержены все версии Apache Roller вплоть до 6.1.4 включительно.
«Уязвимость управления сессиями существует в Apache Roller до версии 6.1.5: активные пользовательские сессии не инвалидируются должным образом после смены пароля», — заявили разработчики в своём уведомлении.
«Когда пользовательский пароль изменяется — независимо от того, сделал ли это сам пользователь или администратор, — все активные сессии остаются действительными и работоспособными».
При успешной эксплуатации злоумышленник может продолжать доступ к приложению через устаревшие сессии, даже после смены пароля. Это также может позволить полный неограниченный доступ при компрометации учётных данных.
Проблема устранена в версии 6.1.5, в которой внедрено централизованное управление сессиями — все активные сессии теперь инвалидируются при смене пароля или деактивации пользователя.
Исследователь по безопасности Хайнинг Менг (Haining Meng) был признан автором обнаружения и доклада об уязвимости.
Открытие опубликовано спустя несколько недель после раскрытия другой критической уязвимости в Java-библиотеке Apache Parquet (CVE-2025-30065, CVSS: 10.0), которая позволяет удалённому атакующему выполнять произвольный код на уязвимых системах.