Popüler açık kaynaklı blog sunucusu Apache rulosunda yeni açıklanan bir güvenlik açığı, saldırganların kritik erişim kontrollerini atlamasına ve şifre değişikliklerinden sonra bile hesaplara yetkisiz erişimi almasına izin verebilir.
CVE-2025-24859 olarak izlenen kusur, araştırmacı Haining Meng’in bir güvenlik raporunun ardından Apache Roller Geliştirme Ekibi tarafından Cumartesi günü açıklandı.
Güvenlik Açığı Detayları
Oturum yönetimi güvenlik açığı, Apache Roller’in tüm sürümlerini 1.0.0’dan 6.1.4’e dahil eder.
.png
)
Bir kullanıcı parolalarını değiştirdiğinde, ister self servis ister bir yönetici aracılığıyla, uygulama mevcut oturum jetonlarını geçersiz kılamaz.
Sonuç olarak, aktif oturumlar geçerli kalır ve yine de eski oturum çerezleriyle hesaba erişmek için kullanılabilir.
Bu gözetim, kötü niyetli bir aktörün bir kullanıcının oturumuna (Via çalınan çerez, kimlik avı veya kötü amaçlı yazılım) erişim elde etmesi durumunda, hak sahibi şifresini sıfırladıktan veya değiştirdikten sonra bile kurbanın hesabına erişmeye devam edebilecekleri anlamına gelir.
Kullanıcıların şüpheli bir ihlalden sonra şifreleri güncellediği senaryolarda, güvenlik açığı birincil savunmayı geçersiz kılar ve devam eden yetkisiz kullanıma maruz kalan hesapları bırakır.
| CVE | Ürün | Etkilenen sürümler | Sabit versiyon |
| CVE-2025-24859 | Apache Roller | 1.0.0 – 6.1.4 | 6.1.5 |
Apache Yazılım Vakfı, sorunu “önemli” olarak kategorize ederek, uzlaşmış hesapların iyileştirme eylemlerinden kaçınma potansiyeli. Etkilenen dağıtımlar, 6.1.5’ten önce silindir sürümlerini çalıştıran tüm kullanıcıları içerir.
Bloglama platformlarının yayıncılık ve işbirliği araçları olarak doğası göz önüne alındığında, etkilenen siteler içerik kurcalama, veri söndürme ve itibar hasarına karşı savunmasız olabilir.
Azaltma ve düzeltme
Apache Roller ekibi, merkezi oturum yönetimini tanıtarak 6.1.5 sürümündeki kusura değinmiştir.
Bu yama ile, herhangi bir şifre değişikliği veya hesap devre dışı işlem işlemi artık o kullanıcıyla ilişkili tüm etkin oturumların geçersiz kılınmasına neden olur.
Yöneticilere ve kullanıcılara dağıtımlarını güvence altına almak için hemen 6.1.5 sürümüne yükseltmeleri tavsiye edilir.
Derhal yükseltemeyen kuruluşlar için ekip, kullanıcı oturum etkinliklerini düzenli olarak izlemenizi ve kullanıcılara geçici bir önlem olarak şifre değişikliklerinden sonra oturum açmasını ve tekrar oturum açmalarını tavsiye eder.
Güvenlik açığı, kusuru tanımlayan ve Apache Roller ekibine bildiren araştırmacı Haining Meng tarafından sorumlu bir şekilde açıklandı.
Geliştirme topluluğunun hızlı yanıtı, projenin geliştirici posta listesi aracılığıyla zamanında bir yama ve halka açık bir duyuru sağladı.
Keşif, özellikle kullanıcı tarafından oluşturulan içeriği ve çok kullanıcı işbirliğini destekleyen tüm web uygulamalarında titiz oturum yönetiminin öneminin altını çiziyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!