CVSS 10.0: баг в Apache Roller открывает дверь хакерам даже после смены пароля

Критическая уязвимость безопасности была обнаружена в Apache Roller — открытом Java-блоговом сервере с открытым исходным кодом. Она позволяет злоумышленникам сохранять несанкционированный доступ даже после смены пароля.

Уязвимость получила идентификатор CVE-2025-24859 и оценку по шкале CVSS в 10.0 — максимальный уровень критичности. Подвержены все версии Apache Roller вплоть до 6.1.4 включительно.

«Уязвимость управления сессиями существует в Apache Roller до версии 6.1.5: активные пользовательские сессии не инвалидируются должным образом после смены пароля», — заявили разработчики в своём уведомлении.

«Когда пользовательский пароль изменяется — независимо от того, сделал ли это сам пользователь или администратор, — все активные сессии остаются действительными и работоспособными».

При успешной эксплуатации злоумышленник может продолжать доступ к приложению через устаревшие сессии, даже после смены пароля. Это также может позволить полный неограниченный доступ при компрометации учётных данных.

Проблема устранена в версии 6.1.5, в которой внедрено централизованное управление сессиями — все активные сессии теперь инвалидируются при смене пароля или деактивации пользователя.

Исследователь по безопасности Хайнинг Менг (Haining Meng) был признан автором обнаружения и доклада об уязвимости.

Открытие опубликовано спустя несколько недель после раскрытия другой критической уязвимости в Java-библиотеке Apache Parquet (CVE-2025-30065, CVSS: 10.0), которая позволяет удалённому атакующему выполнять произвольный код на уязвимых системах.

В прошлом месяце также была обнаружена критическая уязвимость в Apache Tomcat (CVE-2025-24813, CVSS: 9.8), которая сразу же стала объектом активной эксплуатации после публикации технических деталей.