CVE-2024-37893 in Firefly IIIinformación

Resumen

por MITRE • 2024-06-17

Firefly III es un administrador de finanzas personales gratuito y de código abierto. En las versiones afectadas, una omisión de MFA en el flujo OAuth del Firefly III puede permitir a usuarios malintencionados omitir la verificación de MFA. Esto permite a usuarios malintencionados utilizar la pulverización de contraseñas para obtener acceso a los datos de Firefly III utilizando contraseñas robadas de otras fuentes. Como las aplicaciones OAuth se pueden enumerar fácilmente utilizando una identificación incremental, un atacante podría intentar registrar una aplicación OAuth en el perfil de un usuario con bastante facilidad si ha creado uno. El atacante también necesitaría saber el nombre de usuario y la contraseña de la víctima. Este problema se solucionó en Firefly III v6.1.17 y versiones posteriores. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben utilizar una contraseña única para su instancia de Firefly III y almacenarla de forma segura, es decir, en un administrador de contraseñas.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2024-06-10

Divulgación

2024-06-17

Moderación

aceptado

Artículo

VDB-268847

CPE

listo

EPSS

0.00594

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!