{"id":1671709,"date":"2025-04-15T18:27:16","date_gmt":"2025-04-15T18:27:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-de-roller-de-apache-cvss-10-0-permite-la-persistencia-de-la-sesion-no-autorizada\/"},"modified":"2025-04-15T18:27:21","modified_gmt":"2025-04-15T18:27:21","slug":"la-vulnerabilidad-critica-de-roller-de-apache-cvss-10-0-permite-la-persistencia-de-la-sesion-no-autorizada","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-de-roller-de-apache-cvss-10-0-permite-la-persistencia-de-la-sesion-no-autorizada\/","title":{"rendered":"La vulnerabilidad cr\u00edtica de Roller de Apache (CVSS 10.0) permite la persistencia de la sesi\u00f3n no autorizada"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad de vulnerabilidad \/ software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado una vulnerabilidad de seguridad cr\u00edtica en el Roller de apache<\/a> Software de servidor de blogs de c\u00f3digo abierto, basado en Java, que podr\u00eda permitir a los actores maliciosos retener el acceso no autorizado incluso despu\u00e9s de un cambio de contrase\u00f1a.<\/p>\n

El defecto, asignado el identificador CVE CVE-2025-24859<\/a><\/strong>lleva una puntuaci\u00f3n CVSS de 10.0, lo que indica la m\u00e1xima gravedad. Afecta todas las versiones de Roller hasta 6.1.4.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Existe una vulnerabilidad de administraci\u00f3n de sesiones en Apache Roller antes de la versi\u00f3n 6.1.5, donde las sesiones activas de usuario no se invalidan correctamente despu\u00e9s de cambiar la contrase\u00f1a”, los mantenedores del proyecto dicho<\/a> en un aviso.<\/p>\n

“Cuando el usuario cambia la contrase\u00f1a de un usuario, ya sea por el propio usuario o por un administrador, las sesiones existentes permanecen activas y utilizables”.<\/p>\n

La explotaci\u00f3n exitosa de la falla podr\u00eda permitir que un atacante mantenga el acceso continuo a la aplicaci\u00f3n a trav\u00e9s de sesiones antiguas incluso despu\u00e9s de cambiar la contrase\u00f1a. Tambi\u00e9n podr\u00eda habilitar un acceso sin restricciones si las credenciales se vean comprometidas.<\/p>\n

La deficiencia se ha abordado en la versi\u00f3n 6.1.5 mediante la implementaci\u00f3n de la gesti\u00f3n de sesiones centralizadas de modo que todas las sesiones activas se invaliden cuando se cambian las contrase\u00f1as o los usuarios est\u00e1n deshabilitados.<\/p>\n

El investigador de seguridad, Haining Meng, ha sido acreditado por descubrir e informar la vulnerabilidad.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La divulgaci\u00f3n se produce semanas despu\u00e9s de que se revelara otra vulnerabilidad cr\u00edtica en la Biblioteca Java de Apache Parquet (CVE-2025-30065, puntaje CVSS: 10.0) que, si se explota con \u00e9xito, podr\u00eda permitir que un atacante remoto ejecute c\u00f3digo arbitrario en instancias susceptibles.<\/p>\n

El mes pasado, un cr\u00edtico<\/a> falla de seguridad<\/a> Impactando Apache Tomcat (CVE-2025-24813, puntaje CVSS: 9.8) qued\u00f3 bajo explotaci\u00f3n activa poco despu\u00e9s de que los detalles del error se convirtieron en conocimiento p\u00fablico.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n