W Apache Roller przed wersją 6.1.5 istnieje luka w zabezpieczeniach zarządzania sesjami, w wyniku której aktywne sesje użytkownika nie są prawidłowo unieważniane po zmianie hasła. Gdy hasło użytkownika zostanie zmienione przez niego samego lub administratora, istniejące sesje pozostają aktywne i użyteczne. Umożliwia to ciągły dostęp do aplikacji za pośrednictwem starych sesji nawet po zmianie hasła, potencjalnie umożliwiając nieautoryzowany dostęp w przypadku naruszenia poświadczeń. Ten problem dotyczy wersji Apache Roller do wersji 6.1.4 włącznie.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny