Uma falha crítica no Apache Roller, servidor de blog de código aberto, permite que invasores ignorem controles de acesso mesmo após alterações de senha. Identificada como CVE-2025-24859, a vulnerabilidade afeta todas as versões do software da 1.0.0 até a 6.1.4, inclusive.
Leia também
CISA impede interrupção do programa CVE
LLMs de código alucinam com bibliotecas e pacotes
O problema ocorre porque o Apache Roller não invalida os tokens de sessão existentes quando uma senha é alterada. Isso significa que um invasor com acesso à sessão ativa, por meio de cookies roubados, phishing ou malware, pode continuar acessando a conta da vítima, mesmo após uma redefinição de senha.
A Apache Software Foundation classificou a falha como “importante”, destacando os riscos de adulteração de conteúdo, roubo de dados e danos à reputação de sites afetados. A correção foi implementada na versão 6.1.5, que introduz gerenciamento centralizado de sessões e invalidação automática após mudanças de senha ou desativação de conta.
Administradores devem atualizar imediatamente para a versão 6.1.5. Caso a atualização não seja possível no momento, recomenda-se o monitoramento das sessões e que usuários efetuem logout e login após alterar suas senhas.
A vulnerabilidade foi reportada de forma responsável pelo pesquisador Haining Meng e corrigida rapidamente pela equipe de desenvolvimento do projeto.
