CVE-2023-23608 in spotipy情報

要約

〜によって VulDB • 2026年06月22日

SpotipyはSpotify Web API用の軽量なPythonライブラリです。バージョン2.22.1より前のバージョンでは、悪意のあるURIがライブラリに渡されると、ライブラリは意図したAPIエンドポイントとは異なるエンドポイントに対して操作を実行するように仕向けられる可能性があります。URIsおよびURLsを解析するためにSpotipyで使用されているコードにより、攻撃者はAPIリクエストに使用されるパス内に任意の文字列を挿入できます。「..」を含めることが可能であるため、攻撃者は例えばspotifyApi.track()経由でのトラック検索をplaylistsなどの任意のAPIエンドポイントへリダイレクトすることが可能ですが、これは他のエンドポイントでも同様です。この脆弱性の影響は、クライアントアプリケーションがユーザーからのURIを処理する際にどのような操作を実行し、またAPIから受信したレスポンスをどのように使用するかによって大きく異なります。本問題はバージョン2.22.1で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

予約する

2023年01月16日

モデレーション

承諾済み

エントリ

VDB-219262

エクスプロイト

ダウンロード

EPSS

0.00653

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!