Plataforma
python
Componente
spotipy
Corregido en
2.25.3
2.25.2
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en spotipy, una biblioteca de Python para interactuar con la API de Spotify. Esta vulnerabilidad permite a atacantes inyectar código JavaScript arbitrario en el navegador de un usuario durante el proceso de autenticación OAuth. La vulnerabilidad afecta a versiones de spotipy menores o iguales a 2.9.0. Se recomienda actualizar a la versión 2.25.2 para mitigar el riesgo.
La vulnerabilidad XSS en spotipy permite a un atacante ejecutar código JavaScript malicioso en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. En un escenario de ataque, un atacante podría manipular el parámetro 'error' en la URL de callback OAuth para inyectar código JavaScript. Este código se ejecutaría cuando el usuario es redirigido a la aplicación spotipy después de la autenticación, comprometiendo potencialmente la seguridad de la cuenta del usuario y la confidencialidad de los datos. La severidad es baja, pero la facilidad de explotación podría llevar a ataques dirigidos.
Esta vulnerabilidad fue publicada el 1 de diciembre de 2025. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de pruebas de concepto (PoC) públicas. La probabilidad de explotación se considera baja, pero la naturaleza de las vulnerabilidades XSS implica que podrían ser explotadas en el futuro si se descubre un vector de ataque más efectivo.
Applications and services that rely on spotipy for OAuth authentication are at risk. This includes developers integrating spotipy into their projects and users who authenticate with applications using spotipy. Shared hosting environments where multiple applications share the same spotipy installation are particularly vulnerable.
• python / spotipy: Inspect OAuth callback handling code (spotipy/oauth2.py) for unsanitized error parameter usage.
• generic web: Monitor access logs for requests containing suspicious characters in the 'error' parameter of OAuth callback URLs.
• generic web: Use a WAF to block requests containing JavaScript code in the 'error' parameter of OAuth callback URLs.
grep -i 'error=.*<script>' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.25.2 de spotipy, que incluye la corrección de seguridad. Si la actualización a la última versión no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario, especialmente los parámetros de la URL. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso en el parámetro 'error'. Verificar que la configuración de OAuth2 sea correcta y que se estén utilizando los últimos protocolos de seguridad.
Actualice la biblioteca Spotipy a la versión 2.25.2 o superior. Esto corregirá la vulnerabilidad XSS en el servidor de callback de OAuth. Puede actualizar usando `pip install --upgrade spotipy`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66040 is a cross-site scripting (XSS) vulnerability in spotipy versions up to 2.9.0, allowing attackers to inject JavaScript during OAuth authentication.
If you are using spotipy version 2.9.0 or earlier, you are potentially affected by this vulnerability. Upgrade to 2.25.2 or later to mitigate the risk.
The recommended fix is to upgrade to spotipy version 2.25.2 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
No active exploitation campaigns have been reported, but the vulnerability is relatively easy to exploit and could be targeted in the future.
Refer to the spotipy project's official release notes and security advisories for details on this vulnerability and the corresponding fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.