CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞

admin
admin
admin
102695
文章
87
评论
2023年4月17日01:47:53评论172 views字数 865阅读2分53秒阅读模式

CVE-2023-27703

CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞

修复 pikpak 1.30.1

[建议描述] Android 版本的pikpak v1.29.2 被发现存在调试接口信息泄露问题。

[附加信息] 详情链接:https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES ?usp=sharing

【漏洞类型】不正确的访问控制

[产品供应商] https://mypikpak.com/

【受影响产品代码库】pikpak安卓版-V1.29.2

【受影响组件】Android版pikpak版本V1.29.2元素调试接口泄露漏洞,可导致js代码执行(XSS)和信息泄露

【攻击类型】本地

[影响信息披露] true

[攻击向量]详情链接:https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES ?usp=sharing

android版pikpak的一个bug,是element调试界面泄露漏洞,会导致js代码执行和信息泄露。我使用的版本是:V1.29.2

漏洞触发点在输入兑换奖励的邀请码,随意输入一个错误码,然后连续点击立即兑换按钮,提示尝试次数过多后需要继续点击请24小时后重试。然后vConsole会在页面右下角弹出。

CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞

我认为这个问题是由于多次输入错误代码引起的,您可以在日志中看到一些错误消息。

我觉得vConsole的出现是非常危险的,它会导致用户信息泄露、网络请求接口调试、元素代码泄露、用户信息被篡改等。

[参考] 

https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES?usp=sharing

[发现者] happy0717


原文始发于微信公众号(Ots安全):CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月17日01:47:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞https://cn-sec.com/archives/1668242.html

发表评论

匿名网友 填写信息