聚焦源代码安全,网罗国内外最新资讯!
该漏洞的CVSS 评分为10.0分,影响 Roller 6.1.4及之前所有版本。Apache Roller 项目的维护人员在一份安全公告中提到,“Apache 6.1.5之前的版本中存在一个会话管理漏洞,是因为活跃用户会话在密码更改后未正确验证造成的。当用户密码由用户或管理员更改时,现有会话仍然是活跃且可用的。”
成功利用该漏洞可导致攻击者通过老旧会话,仍然保持对该应用的访问权限,即使密码更改后也不例外。如凭据被攻陷,则该漏洞还可导致不受限访问。
该项目已通过执行中心化会话管理的方式,在6.1.5版本中修复该漏洞。如此,即使密码被更改或用户遭禁用,所有活跃会话仍然会得到验证。安全研究员 Haining Meng 发现并报送了该漏洞。
几周前,Apache Parquet Java 库中被指存在一个严重漏洞CVE-2025-30065(CVSS 10.0),如遭成功利用,可导致远程攻击者在可疑实例中执行任意代码。上个月,Apache Tomcat 受一个严重漏洞(CVE-2025-24813,CVSS 9.8)的影响,并在漏洞详情公开不久后即遭活跃利用。
Apache Parquet Java 中存在CVSS满分漏洞
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~