Kritična ranjivost u Apache Roller-u mogla bi omogućiti napadačima da zloupotrijebe prethodne sesije kako bi zadržali stalan pristup, čak i nakon promjene korisničkih lozinki.
Roller je blog server otvorenog koda zasnovan na Java tehnologiji, koji uključuje sistem za upravljanje sadržajem, podršku za više korisnika sa tri nivoa dozvola, integrisanu pretragu i podršku za šablone i teme.
Prošle sedmice, Apache je upozorio da je verzija Rollera 6.1.5 objavljena sa zakrpama za grešku kritične težine u funkcionalnosti upravljanja sesijama, zbog koje aktivne korisničke sesije nisu bile pravilno poništene.
Ranjivost je označena kao CVE-2025-24859 (CVSS ocjena 10/10), a problem je doveo do toga da postojeće sesije ostanu aktivne čak i nakon što korisnici promijene svoje lozinke. Te sesije, kako je upozorio Apache, mogu se iskoristiti za održavanje stalnog pristupa serveru.
„Ovo omogućava nastavak pristupa aplikaciji putem starih sesija čak i nakon promjene lozinki, što potencijalno omogućava neovlašćen pristup ako su akreditive kompromitovane“, objašnjava Apache.
Sve verzije Rollera zaključno sa 6.1.4 pogođene su ovim bezbjednosnim propustom. Verzija Rollera 6.1.5 donosi unaprijeđeno centralizovano upravljanje sesijama, koje pravilno poništava sve aktivne sesije nakon promjene lozinke ili kada se korisnički nalog deaktivira.
Prema bilješkama iz izdanja, najnovija verzija Rollera implementira RollerLoginSessionManager radi boljeg praćenja sesija i unapređuje rad sa keširanjem korisničkih sesija.
Ovo je druga ranjivost kritične težine sa maksimalnom ocjenom koju je Apache riješio tokom prethodne dvije sedmice, nakon što je zakrpio CVE-2025-30065 u okviru Apache Parquet-a.
Opisana kao deserializacija nepouzdanih podataka u parquet-avro modulu, greška u Parquet-u mogla bi se maliciozno iskoristiti na daljinu za proizvoljno izvršavanje koda, što potencijalno vodi ka potpunom preuzimanju sistema.
Izvor: SecurityWeek
