CVE-2025-62651CVE-2025-62651是存在于Restaurant Brands International(RBI)旗下餐饮品牌助手平台中的一个安全漏洞。该平台服务于包括汉堡王(Burger King)、蒂姆·霍顿斯(Tim Hortons)和波派斯(Popeyes)等知名快餐连锁品牌。漏洞的核心问题在于平台的卫生间评分(bathroom rating)接口未实施任何访问控制机制,攻击者无需任何身份认证即可通过网络直接访问该接口。
该漏洞由安全研究员bobdahacker发现并报告,披露日期为2025年10月17日。RBI助手平台作为连接消费者与各品牌门店的重要交互系统,其安全性直接关系到用户数据和品牌运营的安全。由于卫生间评分接口缺乏基本的认证和授权检查,攻击者可以远程利用该漏洞对系统进行未授权操作,可能导致数据泄露或数据篡改等安全问题。
根据CVSS 3.1评分体系,该漏洞评分为6.5分,属于中危级别。攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需权限(PR:N),无需用户交互(UI:N),作用域未改变(S:U),对机密性影响为低(C:L),对完整性影响为低(I:L),对可用性无影响(A:N)。该漏洞已被多家安全媒体报道,包括Malwarebytes和Yahoo News等,引起了安全社区的广泛关注。
该漏洞的技术原理在于RBI助手平台的卫生间评分接口(bathroom rating interface)完全缺乏访问控制机制。在正常的Web应用架构中,任何面向用户的功能接口都应该具备身份认证(Authentication)和授权(Authorization)机制,以确保只有合法用户才能访问相应资源。
具体而言,该漏洞的技术细节如下:
1. 接口暴露:RBI助手平台通过RESTful API或其他Web接口形式暴露了卫生间评分功能,该接口的URL端点可以被外部用户直接访问。
2. 缺少认证:接口未要求任何形式的身份验证令牌(如JWT、Session Cookie、API Key等),攻击者无需提供任何凭据即可发送请求。
3. 缺少授权:即使接口有某种形式的认证机制,也未实施基于角色的访问控制(RBAC)或基于属性的访问控制(ABAC),导致任何网络可达的用户均可调用该接口。
4. 攻击利用:攻击者只需使用标准的HTTP请求工具(如curl、Postman或浏览器)直接访问该接口的URL,即可执行评分提交、查询或修改等操作。
利用方式相对简单:攻击者通过构造特定的HTTP请求(GET或POST方法)直接访问卫生间评分接口的端点,即可绕过所有安全检查,实现对评分数据的未授权读写操作。这可能导致评分数据被恶意篡改、大量虚假评分被注入,或敏感评分数据被批量获取。