Apache Roller 開(kāi)源博客服務(wù)器軟件近日曝出一個(gè)高危安全漏洞，攻擊者可利用該漏洞在用戶修改密碼后仍保持未授權(quán)訪問(wèn)。這款基于 Java 的博客平臺(tái)存在會(huì)話管理缺陷，被賦予最高危險(xiǎn)等級(jí)的 CVSS 10.0 評(píng)分。

漏洞詳情（CVE-2025-24859）

該漏洞編號(hào)為 CVE-2025-24859，影響 Roller 6.1.4 及之前所有版本。項(xiàng)目維護(hù)團(tuán)隊(duì)在公告中指出："Apache Roller 6.1.5 之前版本存在會(huì)話管理漏洞，當(dāng)用戶密碼被修改后，活動(dòng)會(huì)話未能正確失效。"

"無(wú)論是用戶自行修改密碼還是管理員操作，現(xiàn)有會(huì)話仍保持活躍可用狀態(tài)。"這意味著攻擊者即使在被修改密碼后，仍可通過(guò)原有會(huì)話持續(xù)訪問(wèn)系統(tǒng)。若用戶憑證已遭泄露，攻擊者更可獲得不受限制的訪問(wèn)權(quán)限。

修復(fù)方案

開(kāi)發(fā)團(tuán)隊(duì)已在 6.1.5 版本中修復(fù)該漏洞，通過(guò)實(shí)施集中式會(huì)話管理機(jī)制，確保密碼修改或用戶禁用操作會(huì)使所有活動(dòng)會(huì)話立即失效。安全研究員 Haining Meng 因發(fā)現(xiàn)并報(bào)告此漏洞獲得致謝。

近期相關(guān)漏洞

此次漏洞披露前數(shù)周，Apache Parquet Java 庫(kù)剛曝出另一個(gè)高危漏洞（CVE-2025-30065，CVSS 10.0），攻擊者可利用該漏洞在受影響實(shí)例上遠(yuǎn)程執(zhí)行任意代碼。

上月，Apache Tomcat 的關(guān)鍵安全漏洞（CVE-2025-24813，CVSS 9.8）在細(xì)節(jié)公開(kāi)后不久即遭活躍利用。這些連續(xù)出現(xiàn)的高危漏洞凸顯了開(kāi)源組件安全維護(hù)的重要性。