CVE-2023-23608 in spotipy
Riassunto
di VulDB • 22/06/2026
Spotipy è una libreria Python leggera per l'Spotify Web API. Nelle versioni precedenti alla 2.22.1, se viene passata un URI dannoso alla libreria, questa può essere indotta a eseguire un'operazione su un endpoint dell'API diverso da quello previsto. Il codice utilizzato da Spotipy per analizzare gli URI e le URL consente a un attaccante di inserire caratteri arbitrari nel percorso utilizzato per le richieste API. Poiché è possibile includere "..", un attaccante può reindirizzare, ad esempio, una ricerca di traccia tramite spotifyApi.track() verso un endpoint dell'API arbitrario come playlists, ma questo vale anche per altri endpoint. L'impatto di questa vulnerabilità dipende fortemente dalle operazioni che un'applicazione client esegue quando gestisce un URI fornito da un utente e dal modo in cui utilizza le risposte ricevute dall'API. Questo problema è stato risolto nella versione 2.22.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.