CVE-2025-62645

Nome do Software Vulnerável e Versões Afetadas Versões da plataforma de assistente da Restaurant Brands International (RBI) até 2025-09-06

Descrição A plataforma de assistente da Restaurant Brands International (RBI) permite que um atacante remoto autenticado obtenha um token com privilégios administrativos para toda a plataforma. Isso é conseguido explorando a mutação GraphQL createToken. Um atacante autenticado, ou seja, alguém com acesso existente, pode utilizar essa mutação para obter acesso administrativo completo. Não há informações disponíveis sobre o número de dispositivos potencialmente afetados em todo o mundo ou sobre quaisquer incidentes reais onde essa falha foi explorada. A vulnerabilidade reside no uso da mutação createToken dentro da API GraphQL.

Recomendações Restringir o acesso à mutação GraphQL createToken. Monitorar atividades suspeitas relacionadas à criação de tokens. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.