Vulnerabilidad en YourSpotify (CVE-2024-28195)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
13/03/2024
Última modificación:
12/02/2025
Descripción
your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. Las versiones de YourSpotify < 1.9.0 no protegen la API ni el flujo de inicio de sesión contra la Cross-Site Request Forgery (CSRF). Los atacantes pueden usar esto para ejecutar ataques CSRF a las víctimas, permitiéndoles recuperar, modificar o eliminar datos en la instancia de YourSpotify afectada. Al utilizar ataques CSRF repetidos, también es posible crear un nuevo usuario en la instancia de la víctima y promoverlo a administrador de la instancia si un administrador legítimo visita un sitio web preparado por un atacante. Nota: La explotabilidad de esta vulnerabilidad en el mundo real depende de la versión y la configuración del navegador que utiliza la víctima. Este problema se solucionó en la versión 1.9.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yooooomi:your_spotify:*:*:*:*:*:*:*:* | 1.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Yooooomi/your_spotify/commit/c3ae87673910c9903bb53088c8b71ed2c9aa54e4
- https://github.com/Yooooomi/your_spotify/security/advisories/GHSA-hfgf-99p3-6fjj
- https://github.com/Yooooomi/your_spotify/commit/c3ae87673910c9903bb53088c8b71ed2c9aa54e4
- https://github.com/Yooooomi/your_spotify/security/advisories/GHSA-hfgf-99p3-6fjj