Apache Roller açık kaynaklı, Java tabanlı bloglama sunucusu yazılımında, kötü niyetli aktörlerin şifre değişikliğinden sonra bile yetkisiz erişimi korumasına izin verebilecek kritik bir güvenlik açığı açıklanmıştır.
Kusur, CVE tanımlayıcısını atandı CVE-2025-24859maksimum ciddiyeti gösteren 10.0 CVSS skoru taşır. 6.1.4’e kadar olan ve dahil olmak üzere tüm silindir sürümlerini etkiler.
Proje koruyucuları bir danışmanlıkta, “Sürüm 6.1.5’ten önce Apache Roller’de bir oturum yönetimi güvenlik açığı mevcuttur.
“Bir kullanıcının şifresi kullanıcının kendileri veya bir yönetici tarafından değiştirildiğinde, mevcut oturumlar aktif ve kullanılabilir kalır.”
Kusurun başarılı bir şekilde kullanılması, bir saldırganın şifre değişikliklerinden sonra bile eski oturumlar aracılığıyla uygulamaya sürekli erişimi sürdürmesini sağlayabilir. Ayrıca, kimlik bilgilerinin tehlikeye atıldığı takdirde serbest erişim sağlayabilir.
Eksiklik, şifreler değiştirildiğinde veya kullanıcılar devre dışı bırakıldığında tüm aktif oturumlar geçersiz kılacağı şekilde merkezi oturum yönetimi uygulanarak 6.1.5 sürümünde ele alınmıştır.
Güvenlik Araştırmacısı Haining Meng, kırılganlığı keşfetmek ve raporlamakla tanınmıştır.
Açıklama, Apache Parket’in Java Kütüphanesinde (CVE-2025-30065, CVSS Puanı: 10.0), başarılı bir şekilde sömürülürse, uzak bir saldırganın duyarlı örneklerde keyfi kod yürütmesine izin verebilecek bir başka kritik güvenlik açığının açıklanmasından haftalar gelir.
Geçen ay, Apache Tomcat’ı (CVE-2025-24813, CVSS puanı: 9.8) etkileyen kritik bir güvenlik kusuru, hatanın ayrıntıları kamuoyu bilgisi haline gelmesinden kısa bir süre sonra aktif sömürü altına girdi.