Vulnerabilidad en Spotipy (CVE-2025-47928)

Spotipy es una librería de Python para la API web de Spotify. A partir de el commit 4f5759dbfb4506c7b6280572a4db1aabc1ac778d, el uso de `pull_request_target` en `.github/workflows/integration_tests.yml` seguido de la verificación del archivo head.sha de una solicitud de integración bifurcada puede ser explotado por atacantes, ya que se puede ejecutar código no confiable con acceso completo a los secretos (del repositorio base). Al explotar esta vulnerabilidad, es posible exfiltrar `GITHUB_TOKEN` y los secretos `SPOTIPY_CLIENT_ID` y `SPOTIPY_CLIENT_SECRET`. En particular, `GITHUB_TOKEN` puede usarse para controlar completamente el repositorio, ya que el token tiene permisos de escritura de contenido. El `pull_request_target` en GitHub Actions es un problema de seguridad importante, especialmente en repositorios públicos, ya que ejecuta código no confiable desde una solicitud de solicitud (PR), pero con el contexto del repositorio base, incluido el acceso a sus secretos. El commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f revirtió el cambio que causó el problema.