Ragingcactus

**Nome do software vulnerável e versões afetadas** Versões do YourSpotify anteriores à 1.8.0 **Descrição** O problema diz respeito a uma vulnerabilidade de injeção NoSQL na lógica de processamento do token de acesso público. Isso permite que invasores contornem o mecanismo de autenticação do token público sem interação do usuário ou conhecimento prévio. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à lógica de processamento do token de acesso público até que a atualização seja aplicada. Evite usar o recurso de token de acesso público nas versões afetadas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do YourSpotify anteriores à 1.8.0 **Descrição** A vulnerabilidade permite que invasores com acesso a um token público de acesso como convidado obtenham tokens da API do Spotify de usuários. Isso pode levar à extração de informações de perfil, hábitos de escuta, playlists e outros dados do perfil correspondente no Spotify. Além disso, os invasores podem controlar a reprodução no aplicativo do Spotify. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API `/me` até que a atualização seja aplicada. Evite usar o recurso de token público nas configurações até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do YourSpotify anteriores à 1.8.0 **Descrição** O problema diz respeito ao uso de um segredo JSON Web Token (JWT) codificado de forma rígida nos tokens de autenticação. Isso permite que invasores forjem tokens de autenticação válidos para qualquer usuário, contornando efetivamente a autenticação e, potencialmente, autenticando-se como usuários administradores. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do YourSpotify anteriores à 1.9.0 **Descrição** A vulnerabilidade afeta a API e o fluxo de login do YourSpotify, permitindo que invasores executem ataques de falsificação de solicitação entre sites (CSRF). Isso lhes permite recuperar, modificar ou excluir dados na instância afetada. Além disso, ataques CSRF repetidos podem levar à criação de um novo usuário e à promoção a administrador da instância, caso um administrador legítimo visite um site malicioso. A explorabilidade dessa vulnerabilidade depende da versão e das configurações do navegador da vítima. **Recomendações** Para versões anteriores à 1.9.0, atualize para a versão 1.9.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API e ao fluxo de login até que a atualização seja aplicada. Observe que não há soluções alternativas conhecidas para este problema, e a atualização para a versão corrigida é a resolução recomendada.

**Nome do software vulnerável e versões afetadas** Versões do YourSpotify anteriores à 1.9.0 **Descrição** O problema diz respeito a uma vulnerabilidade de clickjacking que pode ser usada para induzir um usuário existente a realizar ações, como permitir o cadastro de outros usuários ou excluir a conta do usuário atual. O clickjacking funciona abrindo o aplicativo alvo em um iframe invisível em um site controlado pelo invasor e induzindo a vítima a visitar a página do invasor e interagir com ela. Ao posicionar elementos sobre o iframe invisível, a vítima pode ser induzida a acionar ações maliciosas ou destrutivas no iframe invisível, enquanto pensa que está interagindo com um site totalmente diferente. Isso pode resultar em um alto impacto na integridade do YourSpotify. **Recomendações** Para versões anteriores à 1.9.0, atualize para a versão 1.9.0 para resolver o problema. Como solução temporária, considere restringir o acesso à instância do YourSpotify para minimizar o risco de exploração. Evite usar o YourSpotify enquanto estiver conectado e visitando outros sites para reduzir o risco de ataques de clickjacking.