Se ha revelado una vulnerabilidad de seguridad crítica en el software de servidor de blogs de código abierto basado en Java, Apache Roller que podría permitir a actores maliciosos conservar acceso no autorizado incluso después de un cambio de contraseña.
Análisis
La vulnerabilidad, identificada como CVE-2025-24859 (CVSS 10.0), radica en una gestión inadecuada de las sesiones activas.
Cuando un usuario cambia su contraseña, las sesiones anteriores no se invalidan automáticamente. Esto significa que un atacante que haya obtenido acceso previo a una sesión puede continuar utilizándola, incluso tras el cambio de credenciales, manteniendo así el acceso no autorizado al sistema.
Esta vulnerabilidad ha sido corregida en la versión de Apache Roller publicada por el fabricante, que implementa una gestión centralizada de sesiones, asegurando que todas las sesiones activas se invaliden cuando se cambian las contraseñas o se deshabilitan cuentas.
Recursos afectados
- La vulnerabilidad afecta a todas las versiones de Apache Roller hasta la 6.1.4. Cualquier instancia de Roller que utilice estas versiones es susceptible a la explotación .
Recomendaciones
- Actualizar a la versión 6.1.5 de Apache Roller que corrige esta vulnerabilidad.
Referencias
- https://www.darkreading.com/vulnerabilities-threats/max-severity-bug-apache-roller-persistent-access
- https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
- https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
- https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html