В Apache Roller, опенсорсному сервері для створення блогів на базі Java, виявлено критичну вразливість, яка дозволяла зловмисникам зберігати несанкціонований доступ до системи навіть після зміни пароля.

Вразливість отримала ідентифікатор CVE-2025-24859 і максимальні 10 балів із 10 можливих за шкалою CVSS. Проблема зачіпає всі версії Roller до 6.1.4 включно.

«В Apache Roller до версії 6.1.5 виявлено вразливість механізму управління сесіями, через яку активні користувацькі сесії не анулюються належним чином після зміни пароля, – повідомляють розробники проєкту. – Коли пароль змінює сам користувач або адміністратор, наявні сесії залишаються активними та придатними для використання».

Тобто успішна експлуатація CVE-2025-24859 дозволяла зловмиснику зберігати доступ через старі сесії навіть після зміни пароля.

Проблему було усунуто у версії 6.1.5 шляхом впровадження централізованого управління сесіями, унаслідок чого всі активні сесії анулюються під час зміни паролів або відключення користувачів.

Нагадаємо, що раніше цього місяця іншу критичну вразливість, яка так само набрала 10 балів за шкалою CVSS, було виправлено в Apache Parquet. Цей баг давав змогу віддаленому зловмиснику виконати довільний код.