Apache Roller – 关键会话管理漏洞 (CVE-2025-24859)
摘要
一个关键的会话管理漏洞CVE-2025-24859影响了Apache Roller——一个基于Java的开源博客服务器。该漏洞使得攻击者可以通过有效的会话令牌获得持久未授权访问,即使用户重置了密码。受影响版本包括1.0.0至6.1.4的所有版本。该问题在6.1.5版本中得到解决,该版本引入了集中式会话失效机制。
受影响系统和/或应用程序
- 产品: Apache Roller
- 受影响版本: 1.0.0 至 6.1.4
- 修复版本: 6.1.5
技术细节
该漏洞源于会话过期处理不足。具体来说,当用户或管理员更改用户密码时,现有会话未能正确失效。因此,任何活跃的会话令牌仍然有效,使得获得此类令牌的攻击者能够继续不受干扰地访问应用程序。此问题被归类为CWE-613:会话过期不足。
攻击场景
- 攻击者获取用户的会话令牌(例如通过钓鱼或会话劫持)
- 合法用户更改其密码,期望终止所有会话
- 由于该漏洞,攻击者的会话保持活跃,继续获得未授权访问
此漏洞削弱了密码更改作为安全措施的有效性,可能导致长期的未授权访问和数据泄露。
修复详情
Apache Roller 6.1.5引入了:
- 集中式会话管理框架
- 密码更改和停用时自动使所有用户会话失效
缓解措施
- 立即行动: 将Apache Roller升级到6.1.5或更高版本
- 临时措施(如果无法立即升级):
- 密切监控用户会话活动
- 使用Web应用程序防火墙(WAF)限制会话持续时间并标记异常
网络融合中心的行动
CFC将继续监控情况,并在需要时发送咨询更新。