Podatność w platformie Restaurant Brands International (RBI) Assistant umożliwia uwierzytelnionemu zdalnie atakującemu uzyskanie tokenu z uprawnieniami administratora całej platformy. Zagrożenie jest krytyczne, ponieważ pozwala na przejęcie pełnej kontroli nad środowiskiem obejmującym wiele marek restauracyjnych.
▸ Pokaż oryginał (EN)
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows a remote authenticated attacker to obtain a token with administrative privileges for the entire platform via the createToken GraphQL mutation.
Atakujący posiadający konto (nawet o niskich uprawnieniach) może wywołać mutację GraphQL o nazwie 'createToken', która w nieprawidłowy sposób przetwarza żądanie i zwraca token z uprawnieniami administracyjnymi na poziomie całej platformy. Mechanizm autoryzacji nie weryfikuje w odpowiedni sposób poziomu uprawnień użytkownika wysyłającego to żądanie. W rezultacie zwykły użytkownik może uzyskać token dający dostęp administracyjny do wszystkich zasobów platformy.
Atakujący może uzyskać pełną kontrolę administracyjną nad całą platformą RBI Assistant, co daje dostęp do danych i konfiguracji wszystkich marek wchodzących w skład grupy (m.in. Burger King, Tim Hortons, Popeyes). Możliwe jest odczytanie, modyfikacja lub usunięcie danych oraz dalsze naruszenie poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się audyt logów pod kątem nieautoryzowanych wywołań mutacji 'createToken' w GraphQL oraz natychmiastowe unieważnienie tokenów wystawionych przed wdrożeniem poprawki.
Platforma Restaurant Brands International (RBI) Assistant w wersjach opublikowanych do 2025-09-06 włącznie.
Podatność została publicznie opisana przez badacza bezpieczeństwa na blogu bobdahacker.com oraz odnotowana przez serwisy branżowe (Malwarebytes, Yahoo News). Opis dotyczy platform obsługujących marki Burger King, Tim Hortons i Popeyes należące do grupy RBI.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HRbi Restaurant Brands International Assistant
APPRbi≤ 2025-09-06
Powiązane podatności
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 relies on client-side authenti...
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 has a Global Store Directory t...
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to rev...
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 provides the functionality of ...
The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to adj...