Apache Roller Vulnerability Allows Hackers to Bypass Access Controls
2025/04/15 gbhackers — 人気の OSS ブログ・サーバ Apache Roller に、新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、重要なアクセス制御を回避し、パスワード変更後であっても、アカウントへの不正アクセスを維持する可能性を持つ。
研究者である Haining Meng によるセキュリティ・レポートを受けるかたちで、この脆弱性 CVE-2025-24859 は、4月12日 (土) に Apache Roller 開発チームにより発表された。
脆弱性の詳細
このセッション管理に起因する脆弱性は、Apache Roller 1.0.0 〜 6.1.4 までの、すべてのバージョンに影響を及ぼす。
セルフ・サービスまたは管理者経由で、ユーザーがパスワードを変更した場合に、アプリケーションによる既存のセッション・トークンの無効化できないという問題が生じる。
その結果として、アクティブなセッションは有効な状態を引きずり、古いセッション Cookie を用いたアカウントへのアクセスが可能になる。
この見落としにより、盗難 Cookie/フィッシング/マルウェアなどを通じて、攻撃者がユーザー・セッションにアクセスすると、正当な所有者がパスワードをリセットまたは変更した後であっても、被害者のアカウントへの継続的なアクセスが可能になってしまう。
侵害の疑いを検知したユーザーが、パスワードを更新した場合であっても、この脆弱性により、主要な防御策が無効化され、アカウントの不正利用が生じてしまう。
| CVE | Product | Affected Versions | Fixed Version |
| CVE-2025-24859 | Apache Roller | 1.0.0 – 6.1.4 | 6.1.5 |
Apache Software Foundation は、侵害されたアカウントが修復されても、その措置を回避する可能性があることを理由に、この問題を Important に分類した。この脆弱性の影響を受ける範囲には、Roller 6.1.5 未満の、すべてのバージョンが含まれる。
このブログ・プラットフォームは、パブリッシング/コラボレーションのツールとしての性質を持つため、影響を受けるサイトにおいて危惧されるのは、コンテンツの改竄/データの流出/評判の失墜といったリスクである。
緩和策と修正
すでに Apache Roller チームは、バージョン 6.1.5 で集中セッション管理を導入することで、この脆弱性に対処している。
このパッチにより、パスワードの変更やアカウントの無効化を実施するユーザーに関連付けられる、すべてのアクティブなセッションが無効化されるようになった。
管理者とユーザーに対して強く推奨されるのは、バージョン 6.1.5 への速やかなアップグレードにより、デプロイメントのセキュリティを確保することだ。
迅速なアップグレードできない組織に対しては、一時的な対策として、ユーザー・セッションのアクティビティを定期的に監視し、パスワード変更後のログアウトと再ログインを実施が推奨されている。
この脆弱性は、研究者である Haining Meng により発見され、Apache Roller チームに対して適切に開示された。
開発コミュニティにおける迅速な対応により、プロジェクトの開発者メーリングリストを通じた、一般への情報の公開と、タイムリーなパッチの提供が実現された。
この発見が浮き彫りにするのは、すべての Web アプリケーションにおいて、特にユーザー生成コンテンツや、複数ユーザーによるコラボレーションをサポートするアプリケーションにおいて、厳格なセッション管理が重要であることだ。
OSS ブログ・サーバである Apache Roller に、アクセス制御の回避につながる脆弱性 が発見されました。パスワードを変更してもアカウントへの不正アクセスが継続される可能性があるという、恐ろしいものです。ご利用のチームは、アップデートをお急ぎください。なお、同ツールの前回の脆弱性は 2024/10/13 の「Apache Roller の CSRF 脆弱性 CVE-2024-46911 が FIX: 直ちにアップデートを!」となります。よろしければ、Apache で検索と併せて、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.