发布日期：2025-11-26
更新日期：2025-12-24

受影响系统：

spotipy-dev Spotipy ＜ 2.25.2

描述：

---

CVE(CAN) ID: CVE-2025-66040

Spotipy是spotipy-dev个人开发者的用于Spotify Web API的轻量级 Python 库。
Spotipy 2.25.2之前版本存在跨站脚本漏洞，该漏洞源于OAuth回调服务器未清理错误参数，攻击者可利用该漏洞通过未经净化的error参数注入代码，在用户进行OAuth身份验证期间，于用户浏览器执行注入的代码。

<**>

建议：

---

厂商补丁：

spotipy-dev
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/spotipy-dev/spotipy/releases

浏览次数：94
严重程度：0（网友投票）