文章总结： ApacheStreamPipes曝出严重漏洞CVE-2025-47411，影响0.69.0至0.97.0版本。攻击者可利用JWT令牌逻辑缺陷将普通用户权限提至管理员，导致数据篡改或环境破坏。建议立即升级至0.98.0版本修复此身份验证绕过风险。 综合评分： 85 文章分类： 漏洞预警,IoT安全,数据安全

CVE-2025-47411：Apache StreamPipes 严重漏洞允许普通用户获取管理员控制权

sec随谈

sec随谈

2025年12月31日 17:19 中国香港

Apache 软件基金会发布了 StreamPipes 的关键修复程序。StreamPipes 是其自助式工业物联网工具箱，旨在帮助非技术用户分析复杂的数据流。新披露的漏洞（编号为 CVE-2025-47411）表明，该工具的用户身份验证机制可被利用，从而使普通用户能够获得完全的管理控制权限。

该漏洞被评为“重要”，影响范围很广，特别是 Apache StreamPipes 版本 0.69.0 到 0.97.0。

该漏洞利用了应用程序创建和验证用户身份过程中的逻辑错误。根据披露的信息，拥有合法非管理员帐户的用户可以利用此漏洞进行数字欺诈。

该漏洞允许攻击者“将现有用户的用户名与管理员的用户名互换”。

这种身份盗窃是通过“操纵 JWT 令牌”实现的，JWT 令牌是用于管理用户会话的安全凭证。攻击者通过构造特定的令牌，可以欺骗系统，使其误以为自己是管理员，从而绕过标准的权限检查。

对于一款旨在管理工业物联网数据的工具而言，管理员权限被盗用后果极其严重。一旦攻击者获得管理员控制权，他们便可进行“数据篡改、未经授权的访问以及其他安全操作”。这可能导致恶意行为者破坏分析数据或扰乱工业环境中的信息流。

开发团队已在最新软件版本中修复了该漏洞。建议运行受影响版本的用户“升级到0.98.0版本，该版本已修复此问题”。

使用 StreamPipes 作为物联网基础设施的组织应优先进行此更新，以确保其“非技术”用户和恶意内部人员无法将其权限提升到最高级别。

参考链接：

https://seclists.org/oss-sec/2025/q4/319

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2025-47411：Apache StreamPipes 严重漏洞允许普通用户获取管理员控制权》