Vulnerabilidad en YourSpotify (CVE-2024-28193)

your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. La versión <1.8.0 de YourSpotify permite a los usuarios crear un token público en la configuración, que se puede utilizar para proporcionar acceso a nivel de invitado a la información de ese usuario específico en YourSpotify. El punto final de la API /me revela el acceso a la API de Spotify y los tokens de actualización a los usuarios invitados. Por lo tanto, los atacantes con acceso a un token público para el acceso de invitados a YourSpotify pueden obtener acceso a los tokens API de Spotify de los usuarios de YourSpotify. Como consecuencia, los atacantes pueden extraer información de perfil, información sobre hábitos de escucha, listas de reproducción y otra información del perfil de Spotify correspondiente. Además, el atacante puede pausar y reanudar la reproducción en la aplicación Spotify a voluntad. Este problema se resolvió en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para este problema.