文章总结： ApacheStreamPipes存在严重漏洞CVE-2025-47411，影响0.69.0至0.97.0版本。该漏洞源于身份验证逻辑错误，普通用户可操纵JWT令牌交换用户名，提升至管理员权限。攻击者可借此篡改数据或进行未授权访问。建议用户立即升级至0.98.0版本修复。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,IoT安全

Apache StreamPipes 严重漏洞可用于获取管理员权限

Ddos

代码卫士

2026年1月4日 18:13 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache 软件基金会修复了StreamPipes中的一个严重漏洞CVE-2025-47411。StremPipes 是一款自助式工业物联网（IIoT）工具箱，旨在让非技术用户分析复杂数据流。该工具的用户身份机制可被利用，导致标准用户夺取完全的管理控制权。

该漏洞被评级为”重要”，影响广泛的安装实例，具体涉及Apache StreamPipes 0.69.0至0.97.0版本。该漏洞利用的是该工具在创建和验证用户身份时的逻辑错误。拥有合法的非管理员账户的用户可利用该漏洞实施”数字障眼法”。该漏洞可使攻击者”将现有用户的用户名与管理员的用户名交换”。这种身份窃取通过”操纵JWT令牌”实现，而JWT令牌是用于管理用户会话的安全凭据。通过构造特定的令牌，攻击者可以欺骗系统，使其误认为自己是管理员，从而绕过标准的权限检查。

对于一款用于管理工业物联网数据的工具来说，管理员权限被接管可造成严重影响。一旦攻击者获得管理控制权，他们便可实施”数据篡改、未经授权的访问等其它问题”，从而破坏分析数据或干扰工业环境中的信息流。

开发团队已在最新的软件版本中修复了此漏洞。建议运行受影响版本的用户”升级到已修复该漏洞的0.98.0版本”。使用StreamPipes构建物联网基础设施的组织机构应优先部署该更新，确保其”非技术”用户以及恶意的内部人员无法将权限提升至最高级。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

速修复！Apache Tika 中存在严重的满分XXE 漏洞

Apache Tomcat 漏洞导致服务器易受RCE攻击

Apache Tika PDF 解析器严重漏洞可导致攻击者访问敏感数据

Apache Tomcat 多个漏洞可导致攻击者触发DoS攻击

Apache CloudStack 严重漏洞可用于执行权限操作

原文链接

CVE-2025-47411: Critical Apache StreamPipes Flaw Allows Standard Users to Seize Admin Control

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《Apache StreamPipes 严重漏洞可用于获取管理员权限》