Se ha revelado una vulnerabilidad de seguridad crítica en el software de servidor de blogs de código abierto de Apache Roller, de código abierto que podría permitir a los actores maliciosos retener el acceso no autorizado incluso después de un cambio de contraseña.
El defecto, asignado el identificador CVE CVE-2025-24859lleva una puntuación CVSS de 10.0, lo que indica la máxima gravedad. Afecta todas las versiones de Roller hasta 6.1.4.
«Existe una vulnerabilidad de administración de sesiones en Apache Roller antes de la versión 6.1.5, donde las sesiones activas de usuario no se invalidan correctamente después de cambiar la contraseña», dijeron los mantenedores del proyecto en un aviso.
«Cuando el usuario cambia la contraseña de un usuario, ya sea por el propio usuario o por un administrador, las sesiones existentes permanecen activas y utilizables».
La explotación exitosa de la falla podría permitir que un atacante mantenga el acceso continuo a la aplicación a través de sesiones antiguas incluso después de cambiar la contraseña. También podría habilitar un acceso sin restricciones si las credenciales se vean comprometidas.
La deficiencia se ha abordado en la versión 6.1.5 mediante la implementación de la gestión de sesiones centralizadas de modo que todas las sesiones activas se invaliden cuando se cambian las contraseñas o los usuarios están deshabilitados.
El investigador de seguridad, Haining Meng, ha sido acreditado por descubrir e informar la vulnerabilidad.
La divulgación se produce semanas después de que se revelara otra vulnerabilidad crítica en la Biblioteca Java de Apache Parquet (CVE-2025-30065, puntaje CVSS: 10.0) que, si se explota con éxito, podría permitir que un atacante remoto ejecute código arbitrario en instancias susceptibles.
El mes pasado, una falla crítica de seguridad que impacta a Apache Tomcat (CVE-2025-24813, puntaje CVSS: 9.8) quedó bajo explotación activa poco después de que los detalles del error se convirtieron en conocimiento público.