CVE-2023-27703 安卓版pikpak版本V1.29.2元素调试接口泄露漏洞

修复 pikpak 1.30.1

[建议描述] Android 版本的pikpak v1.29.2 被发现存在调试接口信息泄露问题。

[附加信息] 详情链接：https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES ?usp=sharing

【漏洞类型】不正确的访问控制

[产品供应商] https://mypikpak.com/

【受影响产品代码库】pikpak安卓版-V1.29.2

【受影响组件】Android版pikpak版本V1.29.2元素调试接口泄露漏洞，可导致js代码执行（XSS）和信息泄露

【攻击类型】本地

[影响信息披露] true

[攻击向量]详情链接：https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES ?usp=sharing

android版pikpak的一个bug，是element调试界面泄露漏洞，会导致js代码执行和信息泄露。我使用的版本是：V1.29.2

漏洞触发点在输入兑换奖励的邀请码，随意输入一个错误码，然后连续点击立即兑换按钮，提示尝试次数过多后需要继续点击请24小时后重试。然后vConsole会在页面右下角弹出。

我认为这个问题是由于多次输入错误代码引起的，您可以在日志中看到一些错误消息。

我觉得vConsole的出现是非常危险的，它会导致用户信息泄露、网络请求接口调试、元素代码泄露、用户信息被篡改等。

[参考] 

https://drive.google.com/drive/folders/1Szu9pjivVtG93ceECvnoAjeSABVyfDES?usp=sharing

[发现者] happy0717