В Apache Roller, опенсорсном сервере для создания блогов на базе Java, обнаружена критическая уязвимость, которая позволяла злоумышленникам сохранять несанкционированный доступ к системе даже после смены пароля.
Уязвимость получила идентификатор CVE-2025-24859 и максимальные 10 баллов из 10 возможных по шкале CVSS. Проблема затрагивает все версии Roller до 6.1.4 включительно.
«В Apache Roller до версии 6.1.5 обнаружена уязвимость механизм управления сессиями, из-за которой активные пользовательские сессии не аннулируются должным образом после смены пароля, — сообщают разработчики проекта. — Когда пароль меняет сам пользователь или администратор, существующие сессии остаются активными и пригодными для использования».
То есть успешная эксплуатация CVE-2025-24859 позволяла злоумышленнику сохранять доступ через старые сессии даже после смены пароля.
Проблема была устранена в версии 6.1.5 путем внедрения централизованного управления сессиями, в результате чего все активные сессии аннулируются при смене паролей или отключении пользователей.
Напомним, что ранее в этом месяце другая критическая уязвимость, так же набравшая 10 баллов по шкале CVSS, была исправлена в Apache Parquet. Этот баг позволял удаленному злоумышленнику выполнить произвольный код.
