Опасная уязвимость в Apache Roller: хакеры сохраняют доступ даже после смены пароля

В популярной блог-платформе Apache Roller обнаружена критическая уязвимость, представляющая серьёзную угрозу для пользователей и организаций. Уязвимость под номером CVE-2025-24859 затрагивает все версии платформы с 1.0.0 по 6.1.4 и получила наивысшую оценку по шкале CVSS 4.0 — 10.0 баллов, что указывает на максимальный уровень риска.

Суть проблемы — неправильное управление сессиями в Apache Roller. Даже после смены пароля пользователем или администратором, система не завершает активные сессии, созданные до этого. В результате злоумышленник, ранее получивший доступ, может продолжать работу в системе, несмотря на смену учётных данных.

Уязвимость была выявлена исследователем в области кибербезопасности Хайнаном Меном. Она связана с тем, что архитектура Apache Roller не использует централизованную систему управления сессиями. Это приводит к тому, что сессии остаются независимыми и не реагируют на изменения в системе аутентификации.

Краткий анализ уязвимости:

В информационной безопасности, когда предполагается компрометация пароля, первой мерой защиты является его немедленная смена. Однако в уязвимых версиях Apache Roller смена пароля не защищает систему: злоумышленник может продолжить доступ через старую сессию.

Apache Roller — это многопользовательская блог-платформа, основанная на Java EE, активно используемая как для личных блогов, так и в корпоративной среде. Масштаб использования повышает значимость и опасность данной уязвимости.

Решение проблемы

Фонд Apache Software устранил уязвимость в версии 6.1.5. В обновлённой версии реализовано централизованное управление сессиями: все активные сессии автоматически завершаются при смене пароля или деактивации аккаунта.

Рекомендации для тех, кто не может обновиться немедленно:

  • Внимательно следите за логами и анализируйте активность сессий;
  • Используйте сетевые фильтры и ограничьте доступ к Apache Roller только доверенным IP-адресам;
  • Если в системе содержится конфиденциальная информация — рассмотрите временную приостановку её работы.

Ранее зафиксированные уязвимости в Apache Roller:

Это не первая серьёзная уязвимость в Apache Roller. В прошлом уже были обнаружены:

  • CVE-2013-4212 — удалённое выполнение кода через OGNL-инъекцию;
  • CVE-2014-0030 — утечка файлов через XML External Entity (XXE) инъекцию.

Вывод:

Пользователям Apache Roller следует отнестись к данной уязвимости с максимальной серьёзностью. Своевременное обновление системы — один из краеугольных камней современной кибербезопасности. Особенно в условиях, когда под угрозой может оказаться как личная, так и корпоративная информация, промедление может привести к необратимым последствиям.