Apache Roller 開源博客服務器軟件近日曝出一個高危安全漏洞，攻擊者可利用該漏洞在用戶修改密碼后仍保持未授權訪問。這款基于 Java 的博客平臺存在會話管理缺陷，被賦予最高危險等級的 CVSS 10.0 評分。

漏洞詳情（CVE-2025-24859）

該漏洞編號為 CVE-2025-24859，影響 Roller 6.1.4 及之前所有版本。項目維護團隊在公告中指出："Apache Roller 6.1.5 之前版本存在會話管理漏洞，當用戶密碼被修改后，活動會話未能正確失效。"

"無論是用戶自行修改密碼還是管理員操作，現有會話仍保持活躍可用狀態。"這意味著攻擊者即使在被修改密碼后，仍可通過原有會話持續訪問系統。若用戶憑證已遭泄露，攻擊者更可獲得不受限制的訪問權限。

修復方案

開發團隊已在 6.1.5 版本中修復該漏洞，通過實施集中式會話管理機制，確保密碼修改或用戶禁用操作會使所有活動會話立即失效。安全研究員 Haining Meng 因發現并報告此漏洞獲得致謝。

近期相關漏洞

此次漏洞披露前數周，Apache Parquet Java 庫剛曝出另一個高危漏洞（CVE-2025-30065，CVSS 10.0），攻擊者可利用該漏洞在受影響實例上遠程執行任意代碼。

上月，Apache Tomcat 的關鍵安全漏洞（CVE-2025-24813，CVSS 9.8）在細節公開后不久即遭活躍利用。這些連續出現的高危漏洞凸顯了開源組件安全維護的重要性。