Apache Roller 曝出高危漏洞（CVSS 10.0）：密码修改后会话仍持续有效

Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞，曝出攻击者可利用该漏洞在用户修改密码后仍保持未授权访问 。高危这款基于 Java 的漏洞博客平台存在会话管理缺陷 ，被赋予最高危险等级的密码 CVSS 10.0 评分。

漏洞详情（CVE-2025-24859）

该漏洞编号为 CVE-2025-24859，源码库修改影响 Roller 6.1.4 及之前所有版本 。后会话仍项目维护团队在公告中指出："Apache Roller 6.1.5 之前版本存在会话管理漏洞，持续当用户密码被修改后
 ，有效活动会话未能正确失效。曝出"

"无论是高危用户自行修改密码还是香港云服务器管理员操作，现有会话仍保持活跃可用状态。漏洞"这意味着攻击者即使在被修改密码后，密码仍可通过原有会话持续访问系统
。修改若用户凭证已遭泄露
，后会话仍攻击者更可获得不受限制的建站模板持续访问权限。

修复方案

开发团队已在 6.1.5 版本中修复该漏洞 ，通过实施集中式会话管理机制 ，确保密码修改或用户禁用操作会使所有活动会话立即失效
。安全研究员 Haining Meng 因发现并报告此漏洞获得致谢。

近期相关漏洞

此次漏洞披露前数周，亿华云Apache Parquet Java 库刚曝出另一个高危漏洞（CVE-2025-30065，CVSS 10.0） ，攻击者可利用该漏洞在受影响实例上远程执行任意代码
。

上月
 ，Apache Tomcat 的关键安全漏洞（CVE-2025-24813 ，云计算CVSS 9.8）在细节公开后不久即遭活跃利用。这些连续出现的高危漏洞凸显了开源组件安全维护的重要性 。