CVE-2024-37893 in Firefly III
Résumé
par VulDB • 16/05/2026
Firefly III est un gestionnaire de finances personnelles gratuit et open source. Dans les versions concernées, une contournement de l'authentification multifacteur (MFA) dans le flux OAuth de Firefly III pourrait permettre à des utilisateurs malveillants de contourner la vérification MFA. Cela permet aux utilisateurs malveillants d'utiliser des attaques par « password spraying » pour accéder aux données de Firefly III en utilisant des mots de passe volés depuis d'autres sources. Comme les applications OAuth sont facilement énumérables via un identifiant incrémental, un attaquant pourrait essayer d'enregistrer une application OAuth sur le profil d'un utilisateur assez facilement s'il en a créé une. L'attaquant doit également connaître le nom d'utilisateur et le mot de passe de la victime. Ce problème a été corrigé dans Firefly III v6.1.17 et versions ultérieures. Il est conseillé aux utilisateurs de mettre à jour. Les utilisateurs ne pouvant pas mettre à jour devraient utiliser un mot de passe unique pour leur instance Firefly III et stocker leur mot de passe de manière sécurisée, par exemple dans un gestionnaire de mots de passe.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.