Se ha revelado una vulnerabilidad de seguridad crítica en el software de servidor de blogs de código amplio de Apache Roller, de código amplio que podría permitir a los actores maliciosos retener el acercamiento no acreditado incluso a posteriori de un cambio de contraseña.
El defecto, asignado el identificador CVE CVE-2025-24859lleva una puntuación CVSS de 10.0, lo que indica la máxima solemnidad. Afecta todas las versiones de Roller hasta 6.1.4.
“Existe una vulnerabilidad de compañía de sesiones en Apache Roller antaño de la interpretación 6.1.5, donde las sesiones activas de beneficiario no se invalidan correctamente a posteriori de cambiar la contraseña”, dijeron los mantenedores del plan en un aviso.
“Cuando el beneficiario cambia la contraseña de un beneficiario, ya sea por el propio beneficiario o por un administrador, las sesiones existentes permanecen activas y utilizables”.
La explotación exitosa de la defecto podría permitir que un atacante mantenga el acercamiento continuo a la aplicación a través de sesiones antiguas incluso a posteriori de cambiar la contraseña. Incluso podría habilitar un acercamiento sin restricciones si las credenciales se vean comprometidas.
La deficiencia se ha abordado en la interpretación 6.1.5 mediante la implementación de la dirección de sesiones centralizadas de modo que todas las sesiones activas se invaliden cuando se cambian las contraseñas o los usuarios están deshabilitados.
El investigador de seguridad, Haining Meng, ha sido acreditado por descubrir e informar la vulnerabilidad.
La divulgación se produce semanas a posteriori de que se revelara otra vulnerabilidad crítica en la Biblioteca Java de Apache Parquet (CVE-2025-30065, puntaje CVSS: 10.0) que, si se explota con éxito, podría permitir que un atacante remoto ejecute código injusto en instancias susceptibles.
El mes pasado, una defecto crítica de seguridad que impacta a Apache Tomcat (CVE-2025-24813, puntaje CVSS: 9.8) quedó bajo explotación activa poco a posteriori de que los detalles del error se convirtieron en conocimiento manifiesto.
