CVE-2024-37893 in Firefly IIIالمعلومات

الملخص

بحسب VulDB • 15/05/2026

Firefly III هو مدير مالي شخصي مجاني ومفتوح المصدر. في الإصدارات المتأثرة، قد يسمح تجاوز المصادقة متعددة العوامل (MFA) في تدفق OAuth الخاص بـ Firefly III للمستخدمين الضارين بتجاوز فحص MFA. يتيح ذلك للمستخدمين الضارين استخدام هجمات رش كلمات المرور (password spraying) للوصول إلى بيانات Firefly III باستخدام كلمات مرور مسروقة من مصادر أخرى. نظرًا لأن تطبيقات OAuth يمكن تعدادها بسهولة باستخدام معرف متزايد (incrementing id)، يمكن للمهاجم محاولة تسجيل تطبيق OAuth في ملف تعريف مستخدم بسهولة نسبية إذا كان قد أنشأ واحدًا. يحتاج المهاجم أيضًا إلى معرفة اسم المستخدم وكلمة المرور للضحية. تم إصلاح هذه المشكلة في Firefly III الإصدار 6.1.17 وما بعده. يُنصح المستخدمون بالترقية. يجب على المستخدمين غير القادرين على الترقية استخدام كلمة مرور فريدة لنسخة Firefly III الخاصة بهم وتخزين كلمة المرور بشكل آمن، أي في مدير كلمات المرور.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub, Inc.

حجز

10/06/2024

إفشاء

17/06/2024

الاعتدال

تمت الموافقة

إدخال

VDB-268847

EPSS

0.00594

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!