Lỗ hổng nghiêm trọng (CVSS 10.0) tồn tại trên Apache Roller

Nam Anh Mai D.Nam Anh Mai D.
3 min read

Apache Roller, một hệ thống quản lý blog (blog server platform) mã nguồn mở được phát triển trên ngôn ngữ lập trình Java, cho phép người dùng và quản trị viên khởi tạo, quản lý và xuất bản nhiều blog cá nhân hoặc blog nhóm trên cùng một máy chủ. Mới đây, trong website của mình, Apache Roller đã thông báo về một lỗ hổng bảo mật nghiêm trọng, đạt điểm 10.0 trên thang điểm CVSS 4.0 - cao nhất về mức độ nghiêm trọng và ảnh hưởng tới toàn bộ các phiên bản của Apache Roller từ 6.1.4 trở về trước. Dưới đây là thông tin chi tiết:

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2025-24859

  • Điểm CVSS(4.0): 10.0

  • Mức độ nghiêm trọng: Critical - Cực kỳ nghiêm trọng

  • Mô tả: Lỗ hổng tồn tại trong cơ chế quản lý phiên (session management) của Apache Roller. Cụ thể, sau khi người dùng thực hiện thay đổi mật khẩu, các phiên hoạt động này không được huỷ bỏ, dẫn tới lỗ hổng cho phép kẻ tấn công vẫn có thể sử dụng phiên hoạt động hiện tại để đăng nhập và truy cập tới ứng dụng mà không cần thông qua bước xác thực.

  • Phiên bản bị ảnh hưởng: Toàn bộ các phiên bản trước 6.1.5

CVE-2025-24859 cực kỳ nghiêm trọng do nó có thể dễ dàng bị lợi dụng nếu như kẻ tấn công đã nắm trong tay thông tin đăng nhập hoặc đánh cắp được phiên đăng nhập hợp lệ của người dùng từ trước. Nó cho phép kẻ tấn công duy trì khả năng truy cập lâu dài vào ứng dụng, bất chấp các biện pháp thay đổi thông tin đăng nhập của người dùng. Hệ quả dẫn tới rủi ro mất an toàn về bảo mật thông tin, truy cập dữ liệu trái phép, cũng như nguy cơ bị đánh cắp dữ liệu và rò rỉ các thông tin nhạy cảm.

Khắc phục & Khuyến nghị

Trong phiên bản Apache Roller 6.1.5, đội ngũ phát triển đã vá lỗ hổng trên thông qua triển khai cơ chế quản lý phiên tập trung (centralized session management). Cơ chế này đảm bảo các phiên hoạt động sẽ bị huỷ bỏ ngay lập tức nếu như người dùng đổi mật khẩu hoặc tài khoản của người dùng bị vô hiệu hoá. Do đó, đội ngũ FPT Threat Intelligence khuyến nghị người dùng nên:

  • Cập nhật Apache Roller: Cập nhật lên phiên bản 6.1.5 và các phiên bản mới hơn để tiến hành vá lỗ hổng.

  • Quản lý phiên hoạt động: Đối với trường hợp chưa thể cập nhật bản vá lập tức, người dùng và quản trị viên cần thực hiện theo dõi, quản lý các phiên hoạt động hiện có. Triển khai biện pháp tạm thời nhằm huỷ bỏ các phiên hoạt động khi có sự thay đổi trạng thái trên tài khoản người dùng (như thay đổi mật khẩu hoặc vô hiệu hoá tài khoản).

  • Kiểm tra bảo mật định kỳ: Tiến hành kiểm tra, đánh giá bảo mật thường xuyên nhằm phát hiện và xử lý các lỗ hổng đang tồn tại trên hệ thống.

  • Nâng cao nhận thức người dùng: Nâng cao nhận thức người dùng về bảo mật nói chung. Ngoài ra, người dùng cần thực hiện nghiêm ngặt chính sách liên quan tới thiết đặt và thay đổi mật khẩu định kỳ, cũng như báo cáo và huỷ bỏ các phiên đăng nhập bất thường trên ứng dụng.

Tham khảo

  1. CVE Record: CVE-2025-24859
0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligencefiscybersecapache

Written by

Nam Anh Mai D.
Nam Anh Mai D.