Kerentanan keamanan yang kritis telah diungkapkan dalam perangkat lunak server blogging berbasis roller apache roller, yang dapat memungkinkan aktor jahat mempertahankan akses yang tidak sah bahkan setelah perubahan kata sandi.
Cacat, menugaskan pengidentifikasi CVE CVE-2025-24859membawa skor CVSS 10,0, menunjukkan keparahan maksimum. Ini mempengaruhi semua versi roller hingga dan termasuk 6.1.4.
“Kerentanan manajemen sesi ada di Apache Roller sebelum versi 6.1.5 di mana sesi pengguna aktif tidak dibatalkan dengan benar setelah perubahan kata sandi,” kata pengelola proyek dalam penasihat.
“Ketika kata sandi pengguna diubah, baik oleh pengguna itu sendiri atau oleh administrator, sesi yang ada tetap aktif dan dapat digunakan.”
Eksploitasi kelemahan yang berhasil memungkinkan penyerang untuk mempertahankan akses berkelanjutan ke aplikasi melalui sesi lama bahkan setelah perubahan kata sandi. Ini juga dapat memungkinkan akses yang tidak terkekang jika kredensial dikompromikan.
Kekurangan telah dibahas dalam versi 6.1.5 dengan mengimplementasikan manajemen sesi terpusat sehingga semua sesi aktif tidak valid ketika kata sandi diubah atau pengguna dinonaktifkan.
Peneliti keamanan Haining Meng telah dikreditkan dengan menemukan dan melaporkan kerentanan.
Pengungkapan datang beberapa minggu setelah kerentanan kritis lainnya diungkapkan di Perpustakaan Java Apache Parquet (CVE-2025-30065, skor CVSS: 10.0) bahwa, jika berhasil dieksploitasi, dapat memungkinkan penyerang jarak jauh untuk menjalankan kode sewenang-wenang pada instance yang rentan.
Bulan lalu, cacat keamanan kritis yang berdampak pada Apache Tomcat (CVE-2025-24813, skor CVSS: 9.8) berada di bawah eksploitasi aktif segera setelah rincian bug menjadi pengetahuan publik.
