Apache Roller 中存在一个严重漏洞（CVE-2025-24859，通用漏洞评分系统（CVSS）评分为 10 分），使得攻击者即便在用户修改密码后仍能继续访问系统。所有版本号在 6.1.4 及以下的 Apache Roller 均受影响。

一个被追踪为 CVE-2025-24859（CVSS 评分为 10.0）的严重漏洞，影响着基于 Java 的开源博客服务器软件 Apache Roller。

该漏洞是一个会话管理问题，影响 6.1.5 版本之前的 Apache Roller，在这些版本中，用户修改密码后，其活跃的用户会话未能正确失效。攻击者可以利用这个漏洞，即便在用户修改密码后，仍能维持未经授权的访问。如果用户凭证被泄露，这个漏洞会让攻击者即便在密码修改后，仍能通过旧会话继续访问系统。

安全公告中写道：“在 6.1.5 版本之前的 Apache Roller 中存在一个会话管理漏洞，即用户修改密码后，活跃的用户会话未能正确失效。当用户自己或管理员修改了用户的密码时，现有的会话仍保持活跃且可使用。这使得即使用户修改了密码，攻击者仍可通过旧会话继续访问应用程序，如果用户凭证被泄露，就有可能导致未经授权的访问。”

这个漏洞影响了包括 6.1.4 版本及更低版本的 Apache Roller。6.1.5 版本通过实施集中式会话管理解决了这一漏洞，当用户修改密码或用户被禁用时，该管理机制会正确地使所有活跃会话失效。

该漏洞由研究人员 Haining Meng 报告。

四月初，专家们就警告了另一个影响 Apache Parquet Java 库的严重漏洞。Apache Parquet Java 库是一个用于在 Java 编程语言中读写 Parquet 文件的软件库。Parquet 是一种列式存储文件格式，经过优化，可与 Apache Hadoop、Apache Spark 和 Apache Drill 等大规模数据处理框架配合使用。

这个被追踪为 CVE-2025-30065（CVSS 评分为 10.0）的漏洞，可能会导致远程代码执行。

安全公告中写道：“在Apache Parquet 1.15.0 及更早版本的 parquet-avro 模块中的模式解析功能，使得恶意行为者能够执行任意代码。”

CVE-2025-30065 漏洞是一个不可信数据反序列化问题。该漏洞影响导入 Parquet 文件的系统，尤其是从不可信来源导入文件的系统，攻击者可以通过篡改这些文件来利用这个漏洞。1.15.0 及更早版本都存在漏洞，且这个漏洞可追溯到 1.8.0 版本。这会影响大数据框架（如 Hadoop、Spark、Flink）以及使用 Parquet 的自定义应用程序。用户应该检查自己的软件栈是否存在这个问题。