1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Pythonのライブラリ Spotipy の脆弱性によるSpotify 認証トークン漏洩の可能性(CVE-2025-27154)

Pythonのライブラリ Spotipy の脆弱性によるSpotify 認証トークン漏洩の可能性(CVE-2025-27154)

セキュリティニュース

投稿日時: 更新日時:

Pythonのライブラリ Spotipy の脆弱性によるSpotify 認証トークン漏洩の可能性(CVE-2025-27154)

Spotify のWeb APIと連携するPythonライブラリSpotipyに、ユーザーの認証トークンが漏洩する可能性のある脆弱性(CVE-2025-27154)が発見されました。パッチはリリース済みなのでアップデートして対応する事をお勧めします。

脆弱性の対象バージョン

バージョン 2.25.1 未満

脆弱性の対策バージョン

バージョン 2.25.1 以降

脆弱性 CVE-2025-27154 の概要

この脆弱性にはCVSSv4スコア8.4が付与されており、影響度が高い問題とされています。

問題の発端は、SpotipyのCacheHandlerクラスSpotify認証トークンを保存する際のキャッシュファイルのアクセス権限設定にあります。該当バージョンでは、キャッシュファイルが過度に許可された権限(644)で作成されており、同じマシン上の他のユーザーやプロセスがこのファイルを読み取ることが可能な状態でした。

この脆弱性が悪用されると、Spotifyアカウントへの不正アクセスやアカウント乗っ取りといったリスクが発生する可能性があります。

 

影響範囲と攻撃者による悪用の可能性

攻撃者がこの脆弱性を悪用した場合、被害者のSpotifyアカウントに対して以下のような操作が可能になります。

  1. アカウント情報の窃取

    • ユーザーの**「いいね」リスト保存済みのプレイリスト**などのデータを盗み出す。

  2. データの改ざんや削除

    • ユーザーのSpotifyライブラリのデータを意図的に削除または変更する。
    • 例えば、特定のアーティストやアルバムを削除し、ユーザーの音楽環境を混乱させる。

  3. アカウントの完全乗っ取り

    • 認証トークンを用いてアカウントの設定を変更することで、第三者がアカウントを制御できるようになる可能性がある。

このような攻撃が実際に行われると、Spotifyユーザーの個人情報や好みのリストが不正に取得されるだけでなく、アカウントそのものが乗っ取られる可能性もあり、セキュリティ上のリスクが非常に高い状態となります。

関連記事

Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825) YubiKeysの暗号欠陥により攻撃者は秘密鍵を抽出してデバイスを複製できるYubiKey 暗号欠陥の脆弱性により攻撃者が秘密鍵を抽出してデバイスを複製できる 7-ZipのMoTWセキュリティ回避する脆弱性が修正(CVE-2025-0411)7-ZipのMark-of-the-Webを回避する脆弱性が修正(CVE-2025-0411) 7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411)7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411) OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466) Default ThumbnailASUSのルーターで重大な脆弱性を修正(CVE-2024-3080) Google が重大度が高いChromeを脆弱性修正 (CVE-2025-0444,CVE-2025-0445)Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)