CVE-2025-47928

Nome do Software Vulnerável e Versões Afetadas: Versões do Spotipy anteriores ao commit que reverteu a alteração (commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f)

Descrição: O problema concerne ao uso de pull request target em .github/workflows/integration tests.yml, o qual pode ser explorado por atacantes para executar código não confiável com acesso total aos segredos do repositório base. Isso pode levar à exfiltração de informações sensíveis, incluindo GITHUB TOKEN, SPOTIPY CLIENT ID e SPOTIPY CLIENT SECRET. O GITHUB TOKEN pode ser usado para assumir completamente o controle do repositório devido aos seus privilégios de escrita de conteúdo. Esta é uma grande preocupação de segurança, especialmente em repositórios públicos, pois permite a execução de código não confiável de um pull request com o contexto do repositório base.

Recomendações: Como solução temporária, considere desabilitar o uso de pull request target em .github/workflows/integration tests.yml até que uma correção esteja disponível. Restrinja o acesso a segredos, como GITHUB TOKEN, SPOTIPY CLIENT ID e SPOTIPY CLIENT SECRET, para minimizar o risco de exploração. Atualize para uma versão que inclua o commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f, que reverteu a alteração que causou o problema.