![CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效]( "CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效")
Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞,攻击者可利用该漏洞在用户修改密码后仍保持未授权访问。这款基于 Java 的博客平台存在会话管理缺陷,被赋予最高危险等级的 CVSS 10.0 评分。
![CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效]( "CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效")
该漏洞编号为 CVE-2025-24859,影响 Roller 6.1.4 及之前所有版本。项目维护团队在公告中指出:"Apache Roller 6.1.5 之前版本存在会话管理漏洞,当用户密码被修改后,活动会话未能正确失效。无论是用户自行修改密码还是管理员操作,现有会话仍保持活跃可用状态。"
这意味着攻击者即使在被修改密码后,仍可通过原有会话持续访问系统。若用户凭证已遭泄露,攻击者更可获得不受限制的访问权限。
开发团队已在 6.1.5 版本中修复该漏洞,通过实施集中式会话管理机制,确保密码修改或用户禁用操作会使所有活动会话立即失效。安全研究员 Haining Meng 因发现并报告此漏洞获得致谢。
此次漏洞披露前数周,Apache Parquet Java 库刚曝出另一个高危漏洞(CVE-2025-30065,CVSS 10.0),攻击者可利用该漏洞在受影响实例上远程执行任意代码。
上月,Apache Tomcat 的关键安全漏洞(CVE-2025-24813,CVSS 9.8)在细节公开后不久即遭活跃利用。这些连续出现的高危漏洞凸显了开源组件安全维护的重要性。
![CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效]( "CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效")
![CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效]( "CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效")
原文始发于微信公众号(FreeBuf):CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3965690.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论