آسیبپذیری حیاتی امنیتی با شناسه CVE-2025-24859 (امتیاز 10.0) در نرمافزار متنباز و مبتنی بر جاوای Apache Roller که به عنوان سرویس وبلاگنویسی شناخته میشود، افشا شد.
آسیبپذیری مذکور میتواند حتی پس از تغییر رمز عبور نیز امکان دسترسی غیر مجاز به سامانه را برای نفوذگران فراهم کند. نقص امنیتی تمامی نسخههای Apache Roller تا و از جمله 6.1.4 را تحت تأثیر قرار میدهد. به بالا را تحت تأثیر قرار میدهد. بر اساس اطلاعیه منتشر شده، آسیبپذیری مدیریت نشستهای Apache Roller که در نسخه 6.1.5 برطرف شد، پیش از نسخه 6.1.5 وجود دارد که طی آن نشستهای فعال کاربران پس از تغییر رمز عبور به درستی باطل نمیشوند. اکسپلویت موفقیتآمیز از آسیبپذیری میتواند به نفوذگر اجازه دهد از طریق نشستهای قدیمی حتی پس از تغییر رمز عبور، دسترسی خود را حفظ و در صورتی که اطلاعات ورود به دست آمده باشد، به طور کامل و بدون محدودیت به سامانه نفوذ کند.
https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
