Se ha descubierto una vulnerabilidad de seguridad crítica en Apache Roller, lo que permite a los atacantes mantener el acceso no autorizado al sistema de blog incluso después de cambiar la contraseña.
La vulnerabilidad, CVE-2025-24859, recibió la puntuación CVSS V4 más alta posible de 10, lo que indica un riesgo grave para el sistema afectado.
La falla de seguridad proviene de problemas básicos de gestión de sesiones con las versiones de Apache Roller 1.0.0 a 6.1.4.
Si un usuario o administrador cambia la contraseña de la cuenta, el sistema no deshabilitará con éxito las sesiones activas existentes. Este monitoreo crítico significa que todas las sesiones existentes continuarán funcionando completamente incluso después de un cambio de credencial.
“Existe una vulnerabilidad de administración de sesiones en Apache Roller antes de la versión 6.1.5, cuando las sesiones de usuario activas no se deshabilitan correctamente después de cambiar la contraseña”, dice el asesoramiento.
Vulnerabilidad de Roller Apache
“Esto permite el acceso continuo a la aplicación a través de la sesión anterior incluso después de que se haya cambiado la contraseña, y podría permitir el acceso no autorizado si las credenciales se comprometen”.
El investigador de seguridad, el avance de Meng, descubrió la vulnerabilidad. Se ha encontrado que esto afecta a todas las instalaciones de Apache Roller que no se actualizan a la última versión.
Existe particularmente preocupación por el desarrollo de blogs organizacional donde las credenciales comprometidas son los desencadenantes comunes de la primera respuesta.
A continuación se muestra una descripción general de la vulnerabilidad:
Los factores de riesgo protegen el acceso autorizado a través de sesiones activas después de ProductsApache Roller 1.0.0 <6.1.5impactuna cambia las contraseñas. Riesgo de secuestro de sesión. La confidencialidad, la integridad y la disponibilidad son de alto riesgo y requisitos previos antes de la explosión
Acceso a una sesión válida antes de cambiar la contraseña. No se requiere interacción de usuario. La complejidad de los bajos ataques. CVSS3.1 Puntuación 10.0 (crítico)
Las vulnerabilidades crean escenarios donde las prácticas de seguridad estándar pueden ser efectivas.
Si se sospecha que una credencial está comprometida, la respuesta inmediata suele cambiar la contraseña, pero este defecto permite que un atacante que ya haya establecido una sesión continúe actuando sin ser obstaculizado dentro del sistema.
Los problemas técnicos incluyen la falta de gestión de sesiones centralizadas para rastrear y rescindir adecuadamente las sesiones activas tras el cambio de derecho.
En cambio, las versiones afectadas mantienen un estado de sesión independiente que no está sincronizado correctamente con los cambios de autenticación.
Apache Roller, una plataforma de blogs basada en Java que se ejecuta como una aplicación web en un servidor Java EE, se usa ampliamente tanto para los sistemas de publicaciones personales de blogs como de nivel empresarial.
Las características de los usuarios múltiples hacen que las organizaciones sean populares para la implementación y podrían ampliar el impacto de esta vulnerabilidad. La Fundación Apache Software aborda una vulnerabilidad en Apache Roller 6.1.5, que se lanzó al mismo tiempo que la divulgación.
La versión parcheada implementa la gestión de sesión centralizada adecuada que garantiza que todas las sesiones activas se finalicen de inmediato si se cambia la contraseña o la cuenta de usuario está deshabilitada.
Se recomienda a los usuarios de Apache Roller a actualizar a la versión 6.1.5 lo antes posible para mitigar este riesgo de seguridad.
Para las organizaciones que no pueden actualizarse de inmediato, los expertos en seguridad recomiendan implementar una capa adicional de protección.
Restrinja el acceso a instancias de rodillos mediante la implementación de controles a nivel de red que monitorean de cerca toda la actividad de la sesión a través de registros de aplicaciones.
Este no es el primer problema de seguridad que afecta a Apache Rollers. Las vulnerabilidades anteriores incluyen un defecto en la ejecución del código remoto debido a versiones de inyección de OGNL (CVE-2013-4212) antes de 5.0.2, y una vulnerabilidad en la inyección de entidad externa XML (CVE-2014-0030).
Se alienta a los administradores a priorizar esta actualización como la naturaleza crítica de la vulnerabilidad y la posibilidad de que los atacantes puedan explotar el sistema con acceso inicial.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
