App Bypass und andere Schwachstellen in Boomerang Parental Control App

Title

Stored XSS & Privilege Escalation

Product

Boomerang Parental Control App

Vulnerable Version

<13.83

Fixed Version

>=13.83 (only issue 1), rest not fixed

CVE Number

CVE-2023-36620, CVE-2023-36621

Impact

high

Homepage

https://nationaledtech.com

Found

29.09.2022

By

Fabian Densborn, Bernhard Gründling (Office Vienna) | SEC Consult Vulnerability Lab

Die Kinderüberwachungs-App "Boomerang" von National Education Technologies ist von Schwachstellen mit hohem Risiko betroffen. Angreifer können ein lokales ADB Backup erzeugen, über welches Zugang zu API Token erlangt werden kann. Dadurch kann ein Angreifer Privilege Escalation durchführen oder auch Cross-Site Scripting im Web Dashboard der Eltern. Des weiteren können Kinder die Beschränkungen der Eltern auf einfache Weise umgehen.

 

Zum vollständigen Security Advisory (Englisch).

 

EOF Fabian Densborn, Bernhard Gründling / @2023

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück