Apache Roller 開源博客服務(wù)器軟件近日曝出一個高危安全漏洞，攻擊者可利用該漏洞在用戶修改密碼后仍保持未授權(quán)訪問。這款基于 Java 的博客平臺存在會話管理缺陷，被賦予最高危險等級的 CVSS 10.0 評分。

漏洞詳情（CVE-2025-24859）

該漏洞編號為 CVE-2025-24859，影響 Roller 6.1.4 及之前所有版本。項目維護(hù)團(tuán)隊在公告中指出："Apache Roller 6.1.5 之前版本存在會話管理漏洞，當(dāng)用戶密碼被修改后，活動會話未能正確失效。"

"無論是用戶自行修改密碼還是管理員操作，現(xiàn)有會話仍保持活躍可用狀態(tài)。"這意味著攻擊者即使在被修改密碼后，仍可通過原有會話持續(xù)訪問系統(tǒng)。若用戶憑證已遭泄露，攻擊者更可獲得不受限制的訪問權(quán)限。

修復(fù)方案

開發(fā)團(tuán)隊已在 6.1.5 版本中修復(fù)該漏洞，通過實施集中式會話管理機(jī)制，確保密碼修改或用戶禁用操作會使所有活動會話立即失效。安全研究員 Haining Meng 因發(fā)現(xiàn)并報告此漏洞獲得致謝。

近期相關(guān)漏洞

此次漏洞披露前數(shù)周，Apache Parquet Java 庫剛曝出另一個高危漏洞（CVE-2025-30065，CVSS 10.0），攻擊者可利用該漏洞在受影響實例上遠(yuǎn)程執(zhí)行任意代碼。

上月，Apache Tomcat 的關(guān)鍵安全漏洞（CVE-2025-24813，CVSS 9.8）在細(xì)節(jié)公開后不久即遭活躍利用。這些連續(xù)出現(xiàn)的高危漏洞凸顯了開源組件安全維護(hù)的重要性。