Identificată sub codul CVE-2025-24859 și clasificată cu un scor CVSS de 10.0 (ceea ce indică o severitate maximă), această eroare de securitate afectează toate versiunile Roller până la 6.1.4, inclusiv.

Conform avertismentului emis de dezvoltatorii proiectului, "o vulnerabilitate în gestionarea sesiunilor există în Apache Roller înainte de versiunea 6.1.5, unde sesiunile active ale utilizatorilor nu sunt invalidate corespunzător după schimbarea parolelor". Aceasta înseamnă că, atunci când un utilizator își schimbă parola (fie el însuși, fie un administrator), sesiunile existente rămân active și utilizabile.

Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să mențină accesul continuu la aplicație prin sesiuni vechi, chiar și după ce parola a fost modificată. De asemenea, ar putea facilita un acces nelimitat în cazul în care credențialele au fost compromise anterior. Această deficiență a fost remediată în versiunea 6.1.5 prin implementarea unei gestionări centralizate a sesiunilor, astfel încât toate sesiunile active sunt invalidate atunci când parolele sunt schimbate sau utilizatorii sunt dezactivați. Cercetătorul în securitate Haining Meng este creditat pentru descoperirea și raportarea acestei vulnerabilități critice.

Remedierea acestei deficiențe a fost implementată în versiunea 6.1.5 prin introducerea unei gestionări centralizate a sesiunilor. Acest nou mecanism introduce un punct unic de control pentru monitorizarea și manipularea tuturor sesiunilor active ale utilizatorilor. Această abordare elimină riscul ca sesiunile vechi să rămână active după modificarea parolei, contracarând astfel vulnerabilitatea critică. 

7 Măsuri Vitale pentru Protejarea Instanțelor Apache Roller Împotriva Persistenței Neautorizate a Sesiunii

Pentru a vă asigura că instanțele Apache Roller sunt protejate împotriva acestei vulnerabilități critice, vă recomandăm implementarea imediată a următoarelor măsuri esențiale:

1.Actualizați urgent la Apache Roller 6.1.5 sau o versiune superioară: Această versiune conține remedierea pentru vulnerabilitatea de gestionare a sesiunilor.

2.Revizuiți și monitorizați activitatea sesiunilor: După actualizare, monitorizați jurnalele de activitate ale serverului pentru a detecta orice sesiune suspectă sau neautorizată.

3.Implementați politici de complexitate a parolelor robuste: Asigurați-vă că utilizatorii utilizează parole puternice și unice pentru a reduce riscul de compromitere inițială a credențialelor.

5.Examinați configurația de gestionare a sesiunilor: Verificați setările de gestionare a sesiunilor în noua versiune pentru a vă asigura că invalidarea sesiunilor la schimbarea parolei este activată corect.

6.Luați în considerare scurtarea duratei sesiunilor inactive: Reducerea timpului de expirare al sesiunilor poate limita fereastra de oportunitate pentru un atacator de a exploata o sesiune veche.

7.Implementați autentificare cu doi factori (2FA): Adăugarea unui nivel suplimentar de securitate poate preveni accesul neautorizat chiar dacă o sesiune este compromisă.

Pentru informații suplimentare despre vulnerabilități de securitate în software open-source și cele mai bune practici pentru securizarea serverelor web, vă invităm să consultați articolele și resursele disponibile pe sigurantapenet.ro. Echipa noastră monitorizează constant peisajul amenințărilor cibernetice pentru a vă oferi cele mai relevante și actualizate informații.

 

Sursa