Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞，攻击者可利用该漏洞在用户修改密码后仍保持未授权访问。这款基于 Java 的博客平台存在会话管理缺陷，被赋予最高危险等级的 CVSS 10.0 评分。

漏洞详情（CVE-2025-24859）

该漏洞编号为 CVE-2025-24859，影响 Roller 6.1.4 及之前所有版本。项目维护团队在公告中指出："Apache Roller 6.1.5 之前版本存在会话管理漏洞，当用户密码被修改后，活动会话未能正确失效。"

"无论是用户自行修改密码还是管理员操作，现有会话仍保持活跃可用状态。"这意味着攻击者即使在被修改密码后，仍可通过原有会话持续访问系统。若用户凭证已遭泄露，攻击者更可获得不受限制的访问权限。

修复方案

开发团队已在 6.1.5 版本中修复该漏洞，通过实施集中式会话管理机制，确保密码修改或用户禁用操作会使所有活动会话立即失效。安全研究员 Haining Meng 因发现并报告此漏洞获得致谢。

近期相关漏洞

此次漏洞披露前数周，Apache Parquet Java 库刚曝出另一个高危漏洞（CVE-2025-30065，CVSS 10.0），攻击者可利用该漏洞在受影响实例上远程执行任意代码。

上月，Apache Tomcat 的关键安全漏洞（CVE-2025-24813，CVSS 9.8）在细节公开后不久即遭活跃利用。这些连续出现的高危漏洞凸显了开源组件安全维护的重要性。

参考来源：

Critical Apache Roller Vulnerability (CVSS 10.0) Enables Unauthorized Session Persistence

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）