В Apache Roller, популярной платформе для блогов на Java с открытым исходным кодом, обнаружена критическая уязвимость, которая позволяет злоумышленникам сохранять несанкционированный доступ даже после смены пароля пользователя. Проблема получила идентификатор CVE-2025-24859 и максимальную оценку критичности по шкале CVSS — 10.0.
Суть уязвимости заключается в неправильном управлении пользовательскими сессиями. В текущих и всех предыдущих версиях Apache Roller вплоть до 6.1.4 при изменении пароля пользователя — вне зависимости от того, был ли он изменён самим пользователем или администратором — все активные сессии продолжают оставаться действующими. Это означает, что если злоумышленник уже получил доступ к учётной записи, смена пароля не приведёт к его автоматическому удалению из системы.
В официальном уведомлении отмечено: «Когда пароль пользователя меняется, или это делает администратор, существующие сессии остаются активными и доступными». Такая особенность работы приводит к тому, что в случае компрометации пароля злоумышленники могут сохранить полный доступ к учётной записи, несмотря на попытки пользователя обезопасить себя.
Уязвимость устранена только в версии 6.1.5, где реализовано централизованное управление сессиями. Теперь при смене пароля или при деактивации пользователя все активные сессии немедленно аннулируются, что исключает возможность дальнейшего доступа с использованием старых токенов и куки.
Обнаружение и подробное описание проблемы стали результатом работы исследователя в области безопасности Хайнин Мэна, который первым сообщил о данном дефекте.
Эта проблема возникла на фоне других резонансных уязвимостей в проектах Apache. В частности, ранее была выявлена уязвимость в Java-библиотеке Apache Parquet (CVE-2025-30065, CVSS 10.0), позволяющая удалённому атакующему выполнять произвольный код на уязвимых экземплярах. Незадолго до этого, критический баг в Apache Tomcat (CVE-2025-24813, CVSS 9.8) стал объектом активной эксплуатации сразу после публикации деталей.
Владельцам и администраторам всех инсталляций Apache Roller рекомендуется немедленно обновиться до версии 6.1.5 или новее. Только это обновление полностью устраняет возможность сохранения несанкционированного доступа через старые сессии после смены пароля, закрывая один из самых опасных векторов атаки для пользователей и организаций, использующих данную платформу.
Изображение носит иллюстративный характер
Суть уязвимости заключается в неправильном управлении пользовательскими сессиями. В текущих и всех предыдущих версиях Apache Roller вплоть до 6.1.4 при изменении пароля пользователя — вне зависимости от того, был ли он изменён самим пользователем или администратором — все активные сессии продолжают оставаться действующими. Это означает, что если злоумышленник уже получил доступ к учётной записи, смена пароля не приведёт к его автоматическому удалению из системы.
В официальном уведомлении отмечено: «Когда пароль пользователя меняется, или это делает администратор, существующие сессии остаются активными и доступными». Такая особенность работы приводит к тому, что в случае компрометации пароля злоумышленники могут сохранить полный доступ к учётной записи, несмотря на попытки пользователя обезопасить себя.
Уязвимость устранена только в версии 6.1.5, где реализовано централизованное управление сессиями. Теперь при смене пароля или при деактивации пользователя все активные сессии немедленно аннулируются, что исключает возможность дальнейшего доступа с использованием старых токенов и куки.
Обнаружение и подробное описание проблемы стали результатом работы исследователя в области безопасности Хайнин Мэна, который первым сообщил о данном дефекте.
Эта проблема возникла на фоне других резонансных уязвимостей в проектах Apache. В частности, ранее была выявлена уязвимость в Java-библиотеке Apache Parquet (CVE-2025-30065, CVSS 10.0), позволяющая удалённому атакующему выполнять произвольный код на уязвимых экземплярах. Незадолго до этого, критический баг в Apache Tomcat (CVE-2025-24813, CVSS 9.8) стал объектом активной эксплуатации сразу после публикации деталей.
Владельцам и администраторам всех инсталляций Apache Roller рекомендуется немедленно обновиться до версии 6.1.5 или новее. Только это обновление полностью устраняет возможность сохранения несанкционированного доступа через старые сессии после смены пароля, закрывая один из самых опасных векторов атаки для пользователей и организаций, использующих данную платформу.
