Apache Roller’da aniqlangan xavfli zaiflik: Parol o‘zgartirilgach ham xakerlar tizimda qolmoqda

Apache Roller blog platformasida aniqlangan xavfli zaiflik foydalanuvchilar va tashkilotlar uchun jiddiy xavf tug‘dirmoqda. CVE-2025-24859 raqamli ushbu zaiflik platformaning 1.0.0 dan 6.1.4 gacha bo‘lgan barcha versiyalariga taalluqli bo‘lib, eng yuqori xavf darajasini bildiruvchi CVSS 4.0 ko‘rsatkichi — 10.0 ball bilan baholangan.

Muammo Apache Roller’da sessiya boshqaruvi noto‘g‘ri ishlashi bilan bog‘liq. Agar foydalanuvchi yoki administrator akkaunt parolini o‘zgartirsa ham, tizim ilgari ochilgan faol sessiyalarni avtomatik tarzda bekor qilmaydi. Natijada, agar xaker ilgari tizimga kirgan bo‘lsa, u parol yangilanganidan keyin ham o‘z faoliyatini bemalol davom ettirishi mumkin.

Xavfsizlik bo‘yicha olim Xaining Meng tomonidan aniqlangan bu zaiflik, parollar o‘zgartirilganda barcha faol sessiyalarni avtomatik bekor qilmaydigan Apache Roller arxitekturasidagi markazlashmagan sessiya nazorati bilan bog‘liq. Bu esa tizim ichidagi autentifikatsiya o‘zgarishlariga javob berolmaydigan mustaqil sessiyalarni yuzaga keltiradi.

Xavfli holatning qisqacha tahlili:

Axborot xavfsizligida foydalanuvchi paroli buzilgan deb taxmin qilinsa, eng birinchi chora — parolni zudlik bilan almashtirishdir. Biroq, ushbu zaiflik mavjud bo‘lgan Apache Roller versiyalarida parol o‘zgarishi hech qanday himoya ta’minlamaydi. Xaker ilgari ochilgan sessiya orqali o‘z faoliyatini davom ettirishi mumkin.

Apache Roller — Java EE serverlarida ishlaydigan, ko‘p foydalanuvchili blog tizimi bo‘lib, tashkilotlar orasida keng qo‘llaniladi. Ko‘plab foydalanuvchilarni qamrab olgani bois, zaiflikning ta’siri keng ko‘lamli bo‘lishi mumkin.

Apache Software Foundation bu muammoni 6.1.5 versiyada tuzatgan. Yangi versiyada parollar o‘zgartirilganda barcha faol sessiyalar avtomatik tarzda yakunlanadi va foydalanuvchilar qaytadan autentifikatsiya qilinadi.

Yangilay olmayotganlar uchun tavsiyalar:

Tizim loglarini diqqat bilan kuzatib boring, sessiya harakatlarini tekshiring;
Tarmoq darajasida qo‘shimcha xavfsizlik choralari joriy eting (faqat ishonchli IP-manzillardan foydalanish);
Maxfiy ma’lumot mavjud bo‘lsa, tizimni vaqtincha faoliyatdan to‘xtatish haqida o‘ylab ko‘ring.

Tarixdagi boshqa zaifliklar:

Bu Apache Roller’da birinchi xavfsizlik muammosi emas. Ilgari ham:

CVE-2013-4212 — OGNL injection orqali masofaviy kod bajarilishi;
CVE-2014-0030 — XML External Entity (XXE) injeksiyasi orqali fayllar oshkor qilinishi;

kabi zaifliklar aniqlangan edi.

Apache Roller’dan foydalanayotgan barcha foydalanuvchilar ushbu zaiflikni jiddiy qabul qilishi lozim. Tezkor yangilanishlar — zamonaviy kiberxavfsizlikning eng muhim tamoyillaridan biridir. Ayniqsa foydalanuvchilarning shaxsiy va tashkilotga tegishli ma’lumotlari xavf ostida bo‘lishi mumkin bo‘lgan holatlarda, bunday zaifliklar ortga qaytarib bo‘lmaydigan yo‘qotishlarga olib kelishi mumkin.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Apache Roller’da aniqlangan xavfli zaiflik: Parol o‘zgartirilgach ham xakerlar tizimda qolmoqda

CISA: SAP serverlaridagi zaiflikdan real hujumlar sodir bo‘lmoqda

Avast’dagi zaiflik orqali tizimni to‘liq egallash mumkin: foydalanuvchilar ogoh bo‘lishi shart!

Windows LNK zaifligi: Microsoft xavfsizlikni e’tiborsiz qoldirmoqda