Apache Roller 中存在一个严重漏洞(CVE-2025-24859,通用漏洞评分系统(CVSS)评分为 10 分),使得攻击者即便在用户修改密码后仍能继续访问系统。所有版本号在 6.1.4 及以下的 Apache Roller 均受影响。
一个被追踪为 CVE-2025-24859(CVSS 评分为 10.0)的严重漏洞,影响着基于 Java 的开源博客服务器软件 Apache Roller。
该漏洞是一个会话管理问题,影响 6.1.5 版本之前的 Apache Roller,在这些版本中,用户修改密码后,其活跃的用户会话未能正确失效。攻击者可以利用这个漏洞,即便在用户修改密码后,仍能维持未经授权的访问。如果用户凭证被泄露,这个漏洞会让攻击者即便在密码修改后,仍能通过旧会话继续访问系统。
安全公告中写道:“在 6.1.5 版本之前的 Apache Roller 中存在一个会话管理漏洞,即用户修改密码后,活跃的用户会话未能正确失效。当用户自己或管理员修改了用户的密码时,现有的会话仍保持活跃且可使用。这使得即使用户修改了密码,攻击者仍可通过旧会话继续访问应用程序,如果用户凭证被泄露,就有可能导致未经授权的访问。”
这个漏洞影响了包括 6.1.4 版本及更低版本的 Apache Roller。6.1.5 版本通过实施集中式会话管理解决了这一漏洞,当用户修改密码或用户被禁用时,该管理机制会正确地使所有活跃会话失效。
该漏洞由研究人员 Haining Meng 报告。
四月初,专家们就警告了另一个影响 Apache Parquet Java 库的严重漏洞。Apache Parquet Java 库是一个用于在 Java 编程语言中读写 Parquet 文件的软件库。Parquet 是一种列式存储文件格式,经过优化,可与 Apache Hadoop、Apache Spark 和 Apache Drill 等大规模数据处理框架配合使用。
这个被追踪为 CVE-2025-30065(CVSS 评分为 10.0)的漏洞,可能会导致远程代码执行。
安全公告中写道:“在Apache Parquet 1.15.0 及更早版本的 parquet-avro 模块中的模式解析功能,使得恶意行为者能够执行任意代码。”
CVE-2025-30065 漏洞是一个不可信数据反序列化问题。该漏洞影响导入 Parquet 文件的系统,尤其是从不可信来源导入文件的系统,攻击者可以通过篡改这些文件来利用这个漏洞。1.15.0 及更早版本都存在漏洞,且这个漏洞可追溯到 1.8.0 版本。这会影响大数据框架(如 Hadoop、Spark、Flink)以及使用 Parquet 的自定义应用程序。用户应该检查自己的软件栈是否存在这个问题。
发表评论
您还未登录,请先登录。
登录