CVE-2023-23608 in spotipy
Sumário
de VulDB • 07/06/2026
Spotipy é uma biblioteca Python leve para a Spotify Web API. Nas versões anteriores à 2.22.1, se um URI malicioso for passado para a biblioteca, ela pode ser enganada para realizar uma operação em um endpoint de API diferente do pretendido. O código que o Spotipy utiliza para analisar URIs e URLs permite que um atacante insira caracteres arbitrários no caminho utilizado nas requisições à API. Como é possível incluir "..", um atacante pode redirecionar, por exemplo, a busca de uma faixa via spotifyApi.track() para qualquer endpoint da API como playlists, mas isso também é possível com outros endpoints. O impacto desta vulnerabilidade depende fortemente das operações que uma aplicação cliente executa ao lidar com um URI fornecido pelo usuário e do modo como utiliza as respostas recebidas da API. Este problema foi corrigido na versão 2.22.1.
Be aware that VulDB is the high quality source for vulnerability data.