Apache 软件基金会发布了 Apache Roller 的安全更新，这是一个基于 Java 的流行博客平台。该更新解决了一个关键的跨站请求伪造（CSRF）漏洞，该漏洞可允许攻击者在多用户 Roller 网站上提升权限。

“Apache Roller 副总裁 Dave Johnson 在官方安全公告中解释说：”在多博客/用户 Roller 网站上，默认情况下，网络日志所有者被信任可以发布任意网络日志内容，再加上 Roller 的 CSRF 保护措施存在缺陷，因此允许权限升级攻击。“这个问题影响到 6.1.4 之前的 Apache Roller。

该漏洞被追踪为 CVE-2024-46911，其严重性级别为 “重要”。攻击者可利用该漏洞对受信任的网络日志所有者执行未经授权的操作，从而可能危及整个博客平台。

为缓解这一漏洞，Apache Roller 6.1.4 引入了几个关键的安全增强功能：

• 更安全的默认设置： 现在，默认情况下会对 HTML 内容进行消毒，以防止执行恶意代码。此外，默认情况下禁用自定义主题和文件上传，以减少潜在的攻击载体。
• 改进的 CSRF 和 XSS 保护： 更新包括使用用户特定盐和一次性使用盐的增强型 CSRF 和跨站脚本 (XSS) 保护机制。
• 依赖性更新： 实施了 20 多项依赖关系更新，包括 Spring、Eclipse-Link JPA、Log4j、Lucene 等的更新。

Johnson 敦促说：“运行多博客/用户 Roller 网站的 Roller 用户建议升级到 6.1.4 版，该版本修复了这一问题。”

Apache Roller 6.1.4 通过解决 CSRF 漏洞和实施其他安全措施，确保用户可以继续享受安全、强大的博客体验。