S’ha revelat una vulnerabilitat de seguretat crítica en el programari de servidor de blogs de codi obert basat en Java, Apache Roller, que podria permetre a actors maliciosos conservar accés no autoritzat fins i tot després d’un canvi de contrasenya.
Anàlisi
La vulnerabilitat, identificada com a CVE-2025-24859 (CVSS 10.0), radica en una gestió inadequada de les sessions actives.
Quan un usuari canvia la seua contrasenya, les sessions anteriors no s’invaliden automàticament. Això significa que un atacant que haja obtingut accés previ a una sessió pot continuar utilitzant-la, fins i tot després del canvi de credencials, de manera que manté l’accés no autoritzat al sistema.
Esta vulnerabilitat s’ha corregit en la versió d’Apache Roller publicada pel fabricant, que implementa una gestió centralitzada de sessions, i assegura que totes les sessions actives s’invaliden quan es canvien les contrasenyes o es deshabiliten comptes.
Recursos afectats
- La vulnerabilitat afecta totes les versions d’Apache Roller fins a la 6.1.4. Qualsevol instància de Roller que utilitze estes versions és susceptible a l’explotació.
Recomanacions
- Actualitzar a la versió 6.1.5 d’Apache Roller que corregix esta vulnerabilitat.
Referències
- https://www.darkreading.com/vulnerabilities-threats/max-severity-bug-apache-roller-persistent-access
- https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
- https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
- https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html