CRITICAL🇬🇧 English

CVE-2025-62645

RBI Assistant Platform — eskalacja uprawnień do admina przez GraphQL

CVSS 9.9v3.1pub. 2025-10-17upd. 2025-11-04

Podatność w platformie Restaurant Brands International (RBI) Assistant umożliwia uwierzytelnionemu zdalnie atakującemu uzyskanie tokenu z uprawnieniami administratora całej platformy. Zagrożenie jest krytyczne, ponieważ pozwala na przejęcie pełnej kontroli nad środowiskiem obejmującym wiele marek restauracyjnych.

Pokaż oryginał (EN)

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows a remote authenticated attacker to obtain a token with administrative privileges for the entire platform via the createToken GraphQL mutation.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto (nawet o niskich uprawnieniach) może wywołać mutację GraphQL o nazwie 'createToken', która w nieprawidłowy sposób przetwarza żądanie i zwraca token z uprawnieniami administracyjnymi na poziomie całej platformy. Mechanizm autoryzacji nie weryfikuje w odpowiedni sposób poziomu uprawnień użytkownika wysyłającego to żądanie. W rezultacie zwykły użytkownik może uzyskać token dający dostęp administracyjny do wszystkich zasobów platformy.

Skutki

Atakujący może uzyskać pełną kontrolę administracyjną nad całą platformą RBI Assistant, co daje dostęp do danych i konfiguracji wszystkich marek wchodzących w skład grupy (m.in. Burger King, Tim Hortons, Popeyes). Możliwe jest odczytanie, modyfikacja lub usunięcie danych oraz dalsze naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się audyt logów pod kątem nieautoryzowanych wywołań mutacji 'createToken' w GraphQL oraz natychmiastowe unieważnienie tokenów wystawionych przed wdrożeniem poprawki.

Kogo dotyczy

Platforma Restaurant Brands International (RBI) Assistant w wersjach opublikowanych do 2025-09-06 włącznie.

Uwagi

Podatność została publicznie opisana przez badacza bezpieczeństwa na blogu bobdahacker.com oraz odnotowana przez serwisy branżowe (Malwarebytes, Yahoo News). Opis dotyczy platform obsługujących marki Burger King, Tim Hortons i Popeyes należące do grupy RBI.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Rbi Restaurant Brands International Assistant

    APP
    Rbi
    ≤ 2025-09-06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-62650HIGH8.3ten sam produkt

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 relies on client-side authenti...

CVE-2025-62644MEDIUM5.0ten sam produkt

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 has a Global Store Directory t...

CVE-2025-62646MEDIUM5.0ten sam produkt

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to rev...

CVE-2025-62647MEDIUM5.0ten sam produkt

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 provides the functionality of ...

CVE-2025-62648MEDIUM6.4ten sam produkt

The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to adj...