Parolanız değişmiş olsa bile saldırganların oturumunuzu ele geçirmesine olanak tanır.
Genel bakış
Apache Roller'da ( 6.1.4'e kadar olan sürümler dahil ) kritik bir oturum yönetimi güvenlik açığı (CVE-2025-24859) keşfedildi ; burada aktif kullanıcı oturumları parola değiştirildikten sonra düzgün bir şekilde geçersiz kılınmıyor . Bu güvenlik açığı, saldırganların parola değiştirildikten sonra bile bir hesaba erişimi sürdürmesine olanak tanır ve bu da yetkisiz hesap erişimine ve ayrıcalık artışına yol açabilir.
Güvenlik açığına kimlik doğrulama güvenliği üzerindeki potansiyel etkisi nedeniyle 10.0 (KRİTİK) CVSS-B puanı atandı . Sorun, parola değişiklikleri veya hesap devre dışı bırakma durumunda tüm etkin oturumları geçersiz kılmak için merkezi oturum yönetimi uygulayan Apache Roller 6.1.5'te düzeltildi .
Teknik Detaylar
Ana neden
Popüler bir Java tabanlı blog platformu olan Apache Roller, daha önce bir kullanıcının parolası değiştirildiğinde mevcut oturumları sonlandıracak bir mekanizmadan yoksundu. Bu şu anlama geliyor:
Kullanıcı şifresini değiştirdiğinde eski oturumlar aktif kalıyordu.
Bir yönetici bir kullanıcının parolasını sıfırlasa bile, kullanıcı mevcut bir oturum üzerinden hesabına erişmeye devam edebilir.
Oturum belirteçlerini çalan saldırganlar, kurban parolasını değiştirdikten sonra bile bunları kullanmaya devam edebildi.
Etkilenen Sürümler
Apache Silindiri ≤ 6.1.4
Sabit Sürüm
Apache Roller 6.1.5 (şifre değişikliğinde oturum geçersiz kılma özelliğini uygular)
Sömürü Senaryosu
Senaryo 1: Saldırgan Parola Sıfırlama Sonrasında Erişimi Korur
İlk Tehlike : Bir saldırgan, bir kullanıcının oturum çerezini çalar (örneğin, XSS, MITM veya kötü amaçlı yazılım aracılığıyla).
Mağdur Şifreyi Değiştirir : Mağdur şüpheli bir aktivite tespit eder ve şifresini değiştirir.
Saldırgan Erişimi Korur : Eski oturumlar geçersiz kılınmadığından, saldırgan kurbanın hesabına erişmek için çalınan oturumu kullanmaya devam eder.
Ayrıcalık İstismarı : Saldırgan kötü amaçlı içerik gönderebilir, hassas verileri çalabilir veya ayrıcalıkları artırabilir.
Senaryo 2: Yönetici Parolası Sıfırlama Baypası
Yönetici Kullanıcı Parolasını Sıfırlar : Bir yönetici, tehlikeye atılmış bir kullanıcının parolasını sıfırlar.
Kullanıcı Hala Oturum Açmış Durumda : Kullanıcı (veya saldırgan) güvenlik önlemini atlatarak mevcut bir oturum üzerinden oturum açmış durumda kalır.
Sürekli Kötü Amaçlı Faaliyet : Saldırgan, parola sıfırlamasına rağmen sistemde varlığını sürdürür.
Azaltma ve Düzeltmeler
Acil Eylemler
Parola değişikliklerinde oturum geçersiz kılmayı sağlamak için Apache Roller 6.1.5'e (veya sonraki sürüme) yükseltin .
Tüm Oturumların Oturumunun Kapatılmasını Zorla : Yöneticiler, kritik değişikliklerden sonra oturumları manuel olarak geçersiz kılmalıdır.
Şüpheli Etkinlikleri İzleyin : Olağandışı oturum açma kalıpları için günlükleri kontrol edin.
Geçici Çözümler (Yükseltme Mümkün Değilse)
Parola değişikliklerini izleyen ve oturumları geçersiz kılan özel bir oturum yönetim katmanı uygulayın .
Oturum zaman aşımını uygulamak için ters proxy kurallarını kullanın .
Çözüm
CVE-2025-24859, Apache Roller'daki parola sıfırlamalarının etkinliğini zayıflatan ciddi bir güvenlik açığıdır. Etkilenen sürümleri kullanan kuruluşlar, yetkisiz erişimi önlemek için 6.1.5'e yükseltmeyi önceliklendirmelidir . Parola değişikliklerinin tüm etkin oturumları etkili bir şekilde sonlandırmasını sağlamak için uygun oturum yönetimi kritik öneme sahiptir.
Yayınlanma Tarihi: 14 Nisan 2025
CVSS-B Puanı: 10.0 (KRİTİK)
Etkilenen Yazılım: Apache Roller ≤ 6.1.4
Yama Uygulanmış Sürüm: Apache Roller 6.1.5