Uma vulnerabilidade crítica de segurança foi revelada no software de servidor de blog baseado em Java e de código aberto Apache Roller, que poderia permitir que atores maliciosos mantivessem acesso não autorizado mesmo após a alteração de uma senha.
A falha, identificada pelo CVE de
CVE-2025-24859
, possui um score CVSS de 10.0, indicando severidade máxima.
Ela afeta todas as versões do Roller até a versão 6.1.4 incluída.
"Existe uma vulnerabilidade no gerenciamento de sessões no Apache Roller antes da versão 6.1.5, onde sessões de usuários ativas não são adequadamente invalidadas após mudanças de senha," disseram os mantenedores do projeto em um aviso.
"Quando a senha de um usuário é alterada, seja pelo próprio usuário ou por um administrador, as sessões existentes permanecem ativas e utilizáveis."
A exploração bem-sucedida da falha poderia permitir que um atacante mantivesse acesso contínuo à aplicação através de sessões antigas mesmo após as mudanças de senha.
Isso também poderia permitir acesso irrestrito se as credenciais fossem comprometidas.
A deficiência foi abordada na versão 6.1.5 com a implementação de um gerenciamento centralizado de sessão, de tal forma que todas as sessões ativas são invalidadas quando as senhas são alteradas ou usuários são desativados.
O pesquisador de segurança Haining Meng foi creditado pela descoberta e relatório da vulnerabilidade.
A divulgação ocorre semanas após outro defeito crítico ter sido revelado no Apache Parquet's Java Library (
CVE-2025-30065
, score CVSS: 10.0) que, se explorado com sucesso, poderia permitir a um atacante remoto executar código arbitrário em instâncias suscetíveis.
No mês passado, uma falha crítica de segurança impactando o Apache Tomcat (
CVE-2025-24813
, score CVSS: 9.8) foi explorada ativamente logo após os detalhes do bug se tornarem públicos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...