Vulnerabilidad en Apache Roller (CVE-2025-24859)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/04/2025

Última modificación:

18/04/2025

Descripción

Existe una vulnerabilidad de gestión de sesiones en Apache Roller anterior a la versión 6.1.5, donde las sesiones de usuario activas no se invalidan correctamente tras cambiar la contraseña. Cuando se cambia la contraseña de un usuario, ya sea por el propio usuario o por un administrador, las sesiones existentes permanecen activas y utilizables. Esto permite el acceso continuo a la aplicación a través de sesiones antiguas incluso después de cambiar la contraseña, lo que podría permitir el acceso no autorizado si las credenciales se ven comprometidas. Este problema afecta a las versiones de Apache Roller hasta la 6.1.4 incluida. La vulnerabilidad se corrige en Apache Roller 6.1.5 mediante la implementación de una gestión de sesiones centralizada que invalida correctamente todas las sesiones activas al cambiar las contraseñas o deshabilitar a los usuarios.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/S:N/AU:N/R:U/RE:L/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/S:N/AU:N/R:U/RE:L/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno
Safety (S): Negligible
Automatable (AU): No
Recovery (R): Usuario
Vulnerability Response Effort (RE): Bajo
Provider Urgency (U): Amber

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Vulnerabilidad en Apache Roller (CVE-2025-24859)

Descripción

Impacto

Referencias a soluciones, herramientas e información