Apache Roller 是一款基于 Java 的开源博客服务器软件，近期被曝存在一个高危安全漏洞（CVE-2025-24859），该漏洞可能允许恶意用户在密码更改后仍维持未授权访问。该漏洞影响 Roller 的所有版本，包括 6.1.4。项目维护者已在 6.1.5 版本中修复此问题，通过集中式会话管理确保密码更改或用户禁用时，所有活跃会话失效。此次漏洞披露紧随 Apache Parquet Java 库和 Apache Tomcat 关键漏洞之后，凸显了开源软件安全的重要性。

🚨 漏洞详情：Apache Roller 中存在会话管理漏洞，用户更改密码后，活跃会话未能正确失效。这意味着攻击者即使在密码更改后，仍可通过旧会话持续访问应用程序。

💥 影响范围：该漏洞影响 Roller 的所有版本，包括 6.1.4 版本。如果凭证被泄露，攻击者可能获得不受限制的访问权限。

✅ 修复方案：该问题已在 6.1.5 版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。

⚠️ 风险提示：该漏洞的 CVSS 评分为 10.0，表明其严重性极高。建议 Apache Roller 用户尽快升级到 6.1.5 版本或更高版本，以修复该漏洞。

HackerNews 编译，转载请注明出处：

Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞，该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。

该漏洞被分配了CVE编号CVE-2025-24859，其CVSS评分为10.0，表明其严重性极高。该漏洞影响Roller的所有版本，包括6.1.4版本。

“Apache Roller在6.1.5版本之前的版本中存在会话管理漏洞，用户更改密码后，活跃的用户会话未能被正确地失效，”项目维护者在一份安全公告中表示。“无论是用户自己还是管理员更改密码，现有的会话仍然保持活跃并可使用。”

成功利用该漏洞可能会使攻击者即使在密码更改后，仍能通过旧会话持续访问应用程序。如果凭证被泄露，该漏洞还可能使攻击者获得不受限制的访问权限。

该问题已在6.1.5版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。

安全研究员孟海宁因发现并报告该漏洞而受到赞誉。

此次漏洞披露发生在Apache Parquet Java库披露另一个关键漏洞（CVE-2025-30065，CVSS评分：10.0）几周之后。如果该漏洞被成功利用，可能会允许远程攻击者在易受攻击的实例上执行任意代码。

上个月，Apache Tomcat的一个关键安全漏洞（CVE-2025-24813，CVSS评分：9.8）在漏洞细节公开后不久便遭到积极利用。

 

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文