CVE-2025-47411：Apache StreamPipes严重漏洞允许普通用户夺取管理员控制权

Apache软件基金会为其自助式工业物联网工具箱StreamPipes发布了一个关键修复程序。一个新披露的漏洞，编号为CVE-2025-47411，揭示了该工具的用户身份机制存在可利用缺陷，允许标准用户夺取完全的管理控制权。

该漏洞被评定为“重要”，影响广泛的安装版本，具体是Apache StreamPipes 0.69.0至0.97.0版本。

此漏洞利用了应用程序在创建和验证用户身份时的逻辑错误。根据披露信息，拥有合法非管理员账户的用户可以利用此弱点进行“数字戏法”。

该漏洞允许攻击者“将现有用户的用户名与管理员的用户名进行交换”。 这种身份窃取是通过“操纵JWT令牌”实现的，JWT令牌是用于管理用户会话的安全凭证。通过精心构造特定的令牌，攻击者可以欺骗系统，使其相信自己是管理员，从而绕过标准的权限检查。

对于一个为管理工业物联网数据而构建的工具来说，管理员被接管的影响是严重的。一旦攻击者获得管理控制权，他们就可以进行“数据篡改、未经授权的访问以及其他安全问题”。这可能使恶意行为者破坏分析数据或干扰工业环境中的信息流。

开发团队已在最新的软件版本中修复了该漏洞。建议运行受影响版本的用户“升级到修复此问题的0.98.0版本”。 利用StreamPipes构建其物联网基础设施的组织应优先进行此更新，以确保他们的“非技术”用户以及恶意内部人员无法将其权限提升至最高级别。