Vulnerabilidad en YourSpotify (CVE-2024-28196)

your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. La versión de YourSpotify < 1.9.0 no impide que otras páginas la muestren en un iframe y, por lo tanto, es vulnerable al clickjacking. El clickjacking se puede utilizar para engañar a un usuario existente de YourSpotify para que active acciones, como permitir el registro de otros usuarios o eliminar la cuenta de usuario actual. El clickjacking funciona abriendo la aplicación objetivo en un iframe invisible en un sitio controlado por un atacante y atrayendo a la víctima para que visite la página del atacante e interactúe con ella. Al colocar elementos sobre el iframe invisible, se puede engañar a una víctima para que desencadene acciones maliciosas o destructivas en el iframe invisible, mientras piensa que interactúa con un sitio totalmente diferente. Cuando una víctima visita un sitio controlado por un atacante mientras está iniciada en YourSpotify, se la puede engañar para que realice acciones en su instancia de YourSpotify sin su conocimiento. Estas acciones incluyen permitir el registro de otros usuarios o eliminar la cuenta de usuario actual, lo que tiene un alto impacto en la integridad de YourSpotify. Este problema se solucionó en la versión 1.9.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.