- Автор темы
- #1
В Apache Roller, опенсорсном сервере для создания блогов на базе Java, обнаружена критическая уязвимость, которая позволяла злоумышленникам сохранять несанкционированный доступ к системе даже после смены пароля.
Уязвимость получила идентификатор CVE-2025-24859 и максимальные 10 баллов из 10 возможных по шкале CVSS. Проблема затрагивает все версии Roller до 6.1.4 включительно.
Проблема была устранена в версии 6.1.5 путем внедрения централизованного управления сессиями, в результате чего все активные сессии аннулируются при смене паролей или отключении пользователей.
Напомним, что ранее в этом месяце другая критическая уязвимость, так же набравшая 10 баллов по шкале CVSS, была исправлена в Apache Parquet. Этот баг позволял удаленному злоумышленнику выполнить произвольный код.
Уязвимость получила идентификатор CVE-2025-24859 и максимальные 10 баллов из 10 возможных по шкале CVSS. Проблема затрагивает все версии Roller до 6.1.4 включительно.
То есть успешная эксплуатация CVE-2025-24859 позволяла злоумышленнику сохранять доступ через старые сессии даже после смены пароля.
Проблема была устранена в версии 6.1.5 путем внедрения централизованного управления сессиями, в результате чего все активные сессии аннулируются при смене паролей или отключении пользователей.
Напомним, что ранее в этом месяце другая критическая уязвимость, так же набравшая 10 баллов по шкале CVSS, была исправлена в Apache Parquet. Этот баг позволял удаленному злоумышленнику выполнить произвольный код.