Alerta crítico

Falha grave no Apache Roller expõe sessões ativas a invasores

Uma falha no Apache Roller permite que sessões antigas permaneçam ativas após alteração de senha, abrindo caminho para acessos não autorizados. A correção veio apenas na versão 6.1.5.

16/04/2025 08:00

Uma vulnerabilidade de segurança classificada como crítica foi identificada no Apache Roller, uma conhecida plataforma de blog de código aberto desenvolvida em Java. Essa falha pode representar uma ameaça significativa à integridade e à confidencialidade de sistemas que utilizam o software, principalmente em ambientes corporativos e governamentais.

Sessões comprometidas colocam segurança do Apache Roller em risco

A falha foi registrada como CVE-2025-24859 e recebeu a pontuação máxima de 10.0 no sistema CVSS (Common Vulnerability Scoring System), indicando o nível mais alto de severidade. Ela afeta todas as versões do Apache Roller até a 6.1.4, inclusive.

Segundo os mantenedores do projeto, o Apache Roller apresentava uma falha de gerenciamento de sessões, na qual as sessões de usuários não eram invalidadas corretamente após uma alteração de senha. Ou seja, mesmo que um usuário trocasse sua senha, sessões antigas permaneciam válidas e utilizáveis.

Isso abre uma porta perigosa para que agentes mal-intencionados, caso tenham acesso prévio, continuem conectados ao sistema sem qualquer impedimento, mesmo após ações corretivas, como redefinir a senha comprometida.

Essa falha também pode permitir que um invasor que tenha obtido as credenciais de um usuário — por meio de phishing ou outro tipo de ataque — mantenha acesso irrestrito por meio de sessões válidas anteriores, sem ser detectado.

Atualização 6.1.5 corrige a falha com controle de sessão centralizado

A vulnerabilidade foi corrigida na atualização Apache Roller 6.1.5, com a implementação de um mecanismo de gerenciamento centralizado de sessões. A partir dessa versão, sempre que uma senha for alterada ou um usuário for desativado, todas as sessões ativas associadas àquela conta serão encerradas imediatamente.

Essa correção é fundamental para garantir a segurança pós-incidente, especialmente em casos de credenciais vazadas, e está em linha com as recomendações de segurança da OWASP para gerenciamento de sessões.

O pesquisador de segurança Haining Meng foi creditado pela descoberta e pela notificação responsável da falha, contribuindo para uma resolução rápida e eficaz.

Falhas recentes reforçam necessidade de atenção com softwares Apache

Esse incidente se soma a uma série de outras vulnerabilidades críticas recentemente reveladas em softwares da fundação Apache, o que levanta alertas para profissionais de TI, DevOps e administradores de sistemas.

Outras falhas graves incluem:

CVE-2025-30065 (Apache Parquet): Vulnerabilidade com CVSS 10.0, que pode permitir a execução remota de código arbitrário, representando risco extremo em ambientes distribuídos que utilizam essa biblioteca Java para manipulação de dados em larga escala.
CVE-2025-24813 (Apache Tomcat): Com pontuação CVSS de 9.8, essa falha começou a ser explorada ativamente pouco depois da sua divulgação pública, demonstrando o quão rápido explorações automatizadas podem ocorrer após a publicação de detalhes técnicos de uma vulnerabilidade.

Recomendação: atualize imediatamente e monitore sessões ativas

A recomendação principal para organizações e administradores de servidores é atualizar imediatamente para a versão 6.1.5 do Apache Roller. Além disso, é essencial revisar as práticas de controle de sessão no ambiente e monitorar atividades suspeitas em contas de usuário, mesmo após trocas de senha.

Boas práticas incluem:

Implementar autenticação multifator (MFA);
Aplicar políticas de expiração de sessão;
Monitorar logins simultâneos e de localizações incomuns;
Utilizar ferramentas de análise de comportamento de usuários (UEBA).

Jardeson Márcio

Mais Notícias

Mais artigos

Imagem com a logomarca do WordPress com fundo vermelho

Segurança digital

Hackers invadem WordPress via falha no OttoKit

Falha no plugin OttoKit permite criação de contas de administrador sem autenticação e já está sendo explorada por hackers. Atualização urgente é recomendada.

Falha crítica

Fortinet corrige falha grave que permite alteração não autorizada de senha no FortiSwitch

Falha crítica no FortiSwitch permite alteração de senhas de administrador sem autenticação. Fortinet lança atualizações e recomenda medidas de proteção imediatas.

Ameaça cibernética

Falha crítica no Ivanti Connect Secure é explorada para disseminar malware avançado

Uma vulnerabilidade crítica (CVE-2025-22457) no Ivanti Connect Secure está sendo explorada para distribuir os malwares TRAILBLAZE e BRUSHFIRE. A falha permite execução remota de código, comprometendo a segurança dos dispositivos afetados.

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Segurança digital

GitHub reforça segurança após vazamento massivo de segredos

O GitHub aprimorou sua plataforma Advanced Security após detectar 39 milhões de segredos expostos em repositórios em 2024. As novas medidas incluem detecção avançada por IA, avaliações gratuitas e maior controle de proteção para evitar vazamentos de credenciais.

Segurança cibernética

Google corrige falha no Cloud Run que permitia acesso não autorizado a contêineres

O Google corrigiu uma vulnerabilidade no Cloud Run que permitia que invasores acessassem imagens de contêineres e injetassem código malicioso. A falha, chamada de ImageRunner, foi resolvida em janeiro de 2025, garantindo maior segurança no Google Cloud Platform.

configuracoes-confidenciais-de-wi-fi-nao-podem-ser-excluidos-de-impressoras-jato-de-tinta-canon

Falha crítica

Microsoft alerta sobre falha grave em drivers de impressora Canon

A Microsoft identificou uma vulnerabilidade crítica (CVE-2025-1268) nos drivers de impressoras Canon que pode permitir execução remota de código. A Canon já lançou correções e recomenda a atualização imediata dos drivers para mitigar riscos.