目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2024-28193— YourSpotify 安全漏洞

CVSS 6.5 · Medium EPSS 0.40% · P61
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2024-28193 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Disclosure of Spotify API Access Tokens to Guest Users Using Public Tokens in your_spotify
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
your_spotify is an open source, self hosted Spotify tracking dashboard. YourSpotify version <1.8.0 allows users to create a public token in the settings, which can be used to provide guest-level access to the information of that specific user in YourSpotify. The /me API endpoint discloses Spotify API access and refresh tokens to guest users. Attackers with access to a public token for guest access to YourSpotify can therefore obtain access to Spotify API tokens of YourSpotify users. As a consequence, attackers may extract profile information, information about listening habits, playlists and other information from the corresponding Spotify profile. In addition, the attacker can pause and resume playback in the Spotify app at will. This issue has been resolved in version 1.8.0. Users are advised to upgrade. There are no known workarounds for this issue.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
信息暴露
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
YourSpotify 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
YourSpotify是一个自托管 Spotify 跟踪仪表板。 YourSpotify 1.8.0之前版本存在安全漏洞,该漏洞源于允许用户在设置中创建公共令牌,该令牌可用于提供对特定用户信息的访客级别访问。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
Yooooomiyour_spotify < 1.8.0 -

二、漏洞 CVE-2024-28193 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2024-28193 的情报信息

登录查看更多情报信息。

同批安全公告 · Yooooomi · 2024-03-13 · 共 5 条

CVE-2024-281949.1 CRITICALYourSpotify 安全漏洞
CVE-2024-281958.1 HIGHYourSpotify 安全漏洞
CVE-2024-281966.5 MEDIUMYourSpotify 安全漏洞
CVE-2024-281925.3 MEDIUMYourSpotify 安全漏洞

IV. Related Vulnerabilities

Same product: your_spotify
Same vendor: Yooooomi
Same weakness: CWE-200

V. Comments for CVE-2024-28193

暂无评论

发表评论