CVE-2025-24859: Lỗ hổng khiến Apache Roller mất kiểm soát quyền truy cập blog

[WhiteHat Team]

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Apache Roller- nền tảng blog mã nguồn mở viết bằng Java, có thể cho phép truy cập trái phép vào các trang blog bị ảnh hưởng. Lỗ hổng này được gán mã CVE-2025-24859 và được đánh giá điểm tuyệt đối CVSS là 10.

CVE-2025-24859 (CVSS: 10): Lỗ hổng nghiêm trọng trong Apache Roller cho phép truy cập trái phép vào blog

Lỗi này liên quan đến việc quản lý phiên đăng nhập không đúng cách. Khi người dùng hoặc quản trị viên thay đổi mật khẩu, các phiên đăng nhập hiện tại không bị vô hiệu hóa, cho phép kẻ tấn công tiếp tục truy cập trái phép nếu đã chiếm được phiên trước đó. Điều này vô hiệu hóa hiệu quả của việc đổi mật khẩu và gây rủi ro nghiêm trọng cho hệ thống blog.

️ Phiên bản bị ảnh hưởng: Tất cả các phiên bản từ 1.0.0 đến 6.1.4 đều bị ảnh hưởng.

Lỗi này đã được khắc phục trong phiên bản mới Apache Roller 6.1.5. Bản vá đã triển khai cơ chế quản lý phiên tập trung, giúp đảm bảo tất cả các phiên đang hoạt động sẽ bị vô hiệu hóa khi người dùng đổi mật khẩu hoặc bị vô hiệu hóa.

Nếu bạn hoặc tổ chức của bạn đang sử dụng Apache Roller, hãy nâng cấp ngay lên phiên bản 6.1.5 để tránh bị khai thác bởi lỗ hổng nguy hiểm này.

Theo Security Online​