CVE-2023-23608 in spotipy
要約
〜によって VulDB • 2026年06月22日
SpotipyはSpotify Web API用の軽量なPythonライブラリです。バージョン2.22.1より前のバージョンでは、悪意のあるURIがライブラリに渡されると、ライブラリは意図したAPIエンドポイントとは異なるエンドポイントに対して操作を実行するように仕向けられる可能性があります。URIsおよびURLsを解析するためにSpotipyで使用されているコードにより、攻撃者はAPIリクエストに使用されるパス内に任意の文字列を挿入できます。「..」を含めることが可能であるため、攻撃者は例えばspotifyApi.track()経由でのトラック検索をplaylistsなどの任意のAPIエンドポイントへリダイレクトすることが可能ですが、これは他のエンドポイントでも同様です。この脆弱性の影響は、クライアントアプリケーションがユーザーからのURIを処理する際にどのような操作を実行し、またAPIから受信したレスポンスをどのように使用するかによって大きく異なります。本問題はバージョン2.22.1で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.