CVE-2024-37893 in Firefly IIIinformation

Résumé

par VulDB • 16/05/2026

Firefly III est un gestionnaire de finances personnelles gratuit et open source. Dans les versions concernées, une contournement de l'authentification multifacteur (MFA) dans le flux OAuth de Firefly III pourrait permettre à des utilisateurs malveillants de contourner la vérification MFA. Cela permet aux utilisateurs malveillants d'utiliser des attaques par « password spraying » pour accéder aux données de Firefly III en utilisant des mots de passe volés depuis d'autres sources. Comme les applications OAuth sont facilement énumérables via un identifiant incrémental, un attaquant pourrait essayer d'enregistrer une application OAuth sur le profil d'un utilisateur assez facilement s'il en a créé une. L'attaquant doit également connaître le nom d'utilisateur et le mot de passe de la victime. Ce problème a été corrigé dans Firefly III v6.1.17 et versions ultérieures. Il est conseillé aux utilisateurs de mettre à jour. Les utilisateurs ne pouvant pas mettre à jour devraient utiliser un mot de passe unique pour leur instance Firefly III et stocker leur mot de passe de manière sécurisée, par exemple dans un gestionnaire de mots de passe.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Réserver

10/06/2024

Divulgation

17/06/2024

Modérer

accepté

Entrée

VDB-268847

CPE

prêt

EPSS

0.00594

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!