Se ha revelado una vulnerabilidad de seguridad crítica en el software de servidor de blogs de código campechano de Apache Roller, de código campechano que podría permitir a los actores maliciosos retener el paso no acreditado incluso posteriormente de un cambio de contraseña.
El defecto, asignado el identificador CVE CVE-2025-24859lleva una puntuación CVSS de 10.0, lo que indica la máxima solemnidad. Afecta todas las versiones de Roller hasta 6.1.4.
«Existe una vulnerabilidad de agencia de sesiones en Apache Roller ayer de la lectura 6.1.5, donde las sesiones activas de agraciado no se invalidan correctamente posteriormente de cambiar la contraseña», dijeron los mantenedores del plan en un aviso.
«Cuando el agraciado cambia la contraseña de un agraciado, ya sea por el propio agraciado o por un administrador, las sesiones existentes permanecen activas y utilizables».
La explotación exitosa de la defecto podría permitir que un atacante mantenga el paso continuo a la aplicación a través de sesiones antiguas incluso posteriormente de cambiar la contraseña. Incluso podría habilitar un paso sin restricciones si las credenciales se vean comprometidas.
La deficiencia se ha abordado en la lectura 6.1.5 mediante la implementación de la administración de sesiones centralizadas de modo que todas las sesiones activas se invaliden cuando se cambian las contraseñas o los usuarios están deshabilitados.
El investigador de seguridad, Haining Meng, ha sido acreditado por descubrir e informar la vulnerabilidad.
La divulgación se produce semanas posteriormente de que se revelara otra vulnerabilidad crítica en la Biblioteca Java de Apache Parquet (CVE-2025-30065, puntaje CVSS: 10.0) que, si se explota con éxito, podría permitir que un atacante remoto ejecute código injusto en instancias susceptibles.
El mes pasado, una defecto crítica de seguridad que impacta a Apache Tomcat (CVE-2025-24813, puntaje CVSS: 9.8) quedó bajo explotación activa poco posteriormente de que los detalles del error se convirtieron en conocimiento manifiesto.
