CVE-2025-62645 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GraphQL `createToken` 突变存在缺陷。 💥 **后果**：攻击者可获取**全平台管理令牌**，直接导致**权限提升**，彻底接管系统。

🔍 **CWE-266**：权限管理错误。 🛠️ **缺陷点**：`createToken` 接口未正确验证或限制令牌生成逻辑，让低权限用户能“越级”获取高权限凭证。

🏢 **厂商**：Restaurant Brands International (RBI)。 📦 **产品**：Assistant Platform (餐厅后台)。 📅 **版本**：2025-09-06 及**之前**的所有版本均受影响。

👑 **权限**：从普通认证用户直接升级为**管理员**。 📂 **数据**：可访问整个平台的敏感数据，包括餐厅运营信息、订单数据等核心资产。

⚡ **门槛低**：CVSS 评分显示 **AC:L** (低复杂度)。 🔑 **认证**：需要 **PR:L** (低权限认证)，即只需拥有普通账号即可触发，无需零日或复杂配置。

📰 **在野利用**：参考链接显示黑客已公开宣称入侵 Burger King/Popeyes 等平台。 🚫 **PoC**：数据中未提供具体代码 PoC，但新闻证实漏洞已被**实战利用**。

🔎 **自查**：检查后台是否暴露 `createToken` GraphQL 端点。 📡 **扫描**：监控异常的高权限令牌生成请求，特别是来自低权限账号的突变调用。

🛡️ **状态**：官方已发布安全公告（2025-10-17）。 🔧 **修复**：需升级至 **2025-09-07 或之后**的版本以修复此漏洞。

🚧 **临时规避**：若无法立即升级，建议**禁用** `createToken` 突变接口。 🔒 **限制**：严格限制 GraphQL 端点的访问权限，仅允许可信 IP 或内部网络访问。

🔥 **优先级：极高**。 ⚠️ **理由**：CVSS 满分风险 (C:H/I:H/A:H)，且已在野利用，直接威胁核心业务安全，需**立即**行动。