14 kwietnia pojawiła się informacja o krytycznej podatności w Apache Roller, do wersji 6.1.4 włącznie. Apache Roller to serwer blogowy o otwartym kodzie źródłowym, napisany w języku Java.

Podatność śledzona jest pod numerem CVE-2025-24859. Otrzymała maksymalną ocenę CVSS: 10.0/10.0.

W podatnej wersji Apache Roller następował błąd związany z unieważnieniem sesji użytkownika po zmianie hasła. Pisząc wprost – taka sesja nie była unieważniana. Po zmiane hasła (przez użytkownika lub administratora), trwająca sesja użytkownika była nadal rozpoznawana jako poprawna. Oznacza to, że w przypadku wycieku sesji (np. w wyniku działania złośliwego oprogramowania na komputerze ofiary), zmiana hasła była po prostu nieskuteczna.

Błąd naprawiono w wersji 6.1.5. Ostatnie miesiące nie są łatwe dla narzędzi Apache (krytyczne podatności w Apache Parquet, Apache Tomcat czy Apache Struts).

Źródła:

  1. https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
  2. https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
  3. https://www.cve.org/CVERecord?id=CVE-2025-24859
  4. https://nvd.nist.gov/vuln/detail/CVE-2025-30065
  5. https://nvd.nist.gov/vuln/detail/CVE-2025-24813
  6. https://nvd.nist.gov/vuln/detail/CVE-2024-53677