Apache Roller sérülékenység

Editors' Pick

Kritikus sérülékenységet azonosítottak az Apache Roller nyílt forráskódú, Java-alapú blogmotorban. A CVE-2025-24859 azonosítójú sérülékenység lehetővé teszi, hogy a támadók jelszóváltoztatás után is hozzáférjenek a rendszerhez, mivel az aktív felhasználói munkamenetek nem kerülnek megfelelően érvénytelenítésre. ​

A hiba minden 6.1.4-es vagy korábbi verziót érint, és a CVSS skálán 10.0-s, azaz maximális súlyossági besorolást kapott. A probléma abból ered, hogy a jelszó megváltoztatása után az aktív munkamenetek érvényben maradnak, így a korábban megszerzett munkamenet-tokenek továbbra is használhatók. ​

A sebezhetőséget Haining Meng biztonsági kutató fedezte fel, és az Apache Roller 6.1.5-ös verziójában javították, ahol bevezették a központosított munkamenet-kezelést, amely biztosítja, hogy a jelszóváltoztatás vagy a felhasználói fiók letiltása után minden aktív munkamenet érvénytelenítésre kerüljön.

A sebezhetőség kihasználása nem igényel magas technikai tudást, és jelentős kockázatot jelent a bizalmas adatokhoz való jogosulatlan hozzáférés szempontjából. A CVE-2025-24859 a CWE-613 kategóriába tartozik, amely az elégtelen munkamenet-lejáratot jelöli. ​

Az Apache Roller felhasználóinak sürgősen javasolt a 6.1.5-ös vagy újabb verzióra történő frissítés, valamint a rendszeres munkamenet-naplók ellenőrzése és a többtényezős hitelesítés alkalmazása a hasonló támadások megelőzése érdekében.​

FORRÁS