TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: Apache StreamPipes > 「Apache StreamPipes」に権限昇格の脆弱性 - 修正版が公開

「Apache StreamPipes」に権限昇格の脆弱性 - 修正版が公開

アプリ: Apache StreamPipes CVE-2025-47411

【要点】

◎Apache StreamPipesに権限昇格の脆弱性が判明。JWT改ざんで管理者権限を取得可能で、最新版への更新が必要。 (Security NEXT)


【要約】

産業用IoT向けデータ処理プラットフォームのApache StreamPipesに、権限昇格の脆弱性「CVE-2025-47411」が明らかとなった。開発チームが2025年12月29日に公表したもので、ユーザーIDの生成処理に不備があり、正規の非管理者ユーザーがJSON Web Token(JWT)を細工することで管理者権限を取得できる可能性がある。影響を受けるのはバージョン0.69.0から0.97.0までで、重要度は4段階中「重要(Important)」と評価された。現地時間2025年12月15日にリリースされたバージョン0.98.0で修正されており、開発チームは影響を受ける利用者に対し、速やかなアップデートの実施を呼びかけている。


【ニュース】

◆「Apache StreamPipes」に権限昇格の脆弱性 - 修正版が公開 (Security NEXT, 2026/01/05)
https://www.security-next.com/179222

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022