Kerentanan Kritis Apache Roller (CVSS 10.0) Memungkinkan Persistensi Sesi yang Tidak Sah

Kerentanan Kritis Apache Roller (CVSS 10.0) Memungkinkan Persistensi Sesi yang Tidak Sah

Posted by : Admin , Apr 28, 2025
Kerentanan keamanan kritis telah diungkapkan dalam perangkat lunak server blogging sumber terbuka Apache Roller, berbasis Java yang dapat memungkinkan aktor jahat untuk mempertahankan akses tidak sah bahkan setelah perubahan kata sandi. Cacat tersebut, yang diberi pengenal CVE CVE-2025-24859, memiliki skor CVSS 10.0, yang menunjukkan tingkat keparahan maksimum. Celah ini memengaruhi semua versi Roller hingga dan termasuk 6.1.4.“Kerentanan manajemen sesi ada di Apache Roller sebelum versi 6.1.5 di mana sesi pengguna aktif tidak dibatalkan dengan benar setelah perubahan kata sandi,” kata pengelola proyek dalam sebuah penasihat. “Ketika kata sandi pengguna diubah, baik oleh pengguna itu sendiri atau oleh administrator, sesi yang ada tetap aktif dan dapat digunakan.” Eksploitasi yang berhasil dari kelemahan ini dapat memungkinkan penyerang untuk mempertahankan akses berkelanjutan ke aplikasi melalui sesi lama bahkan setelah perubahan kata sandi. Hal ini juga dapat memungkinkan akses tanpa batas jika kredensial dibobol. Kekurangan ini telah diatasi pada versi 6.1.5 dengan mengimplementasikan manajemen sesi terpusat sehingga semua sesi aktif dibatalkan ketika kata sandi diubah atau pengguna dinonaktifkan. Peneliti keamanan Haining Meng telah dikreditkan dengan menemukan dan melaporkan kerentanan tersebut.

Sumber : https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html