CVE-2024-37893 in Firefly III
Riassunto
di VulDB • 16/06/2026
Firefly III è un gestore delle finanze personali gratuito e open source. Nelle versioni interessate, una violazione del controllo MFA (Multi-Factor Authentication) nel flusso OAuth di Firefly III potrebbe consentire agli utenti malintenzionati di eludere la verifica MFA. Ciò consente agli aggressori di utilizzare tecniche di password spraying per accedere ai dati di Firefly III utilizzando le rubriche delle credenziali sottratte da altre fonti. Poiché le applicazioni OAuth sono facilmente enumerabili tramite un ID incrementale, un attaccante potrebbe riuscire a registrare con relativa facilità una propria applicazione OAuth associandola al profilo di un utente, purché ne abbia già creata una. L'attaccante dovrebbe inoltre conoscere nome utente e password della vittima. Il problema è stato risolto in Firefly III v6.1.17 e versioni successive. Si consiglia agli utenti di effettuare l’aggiornamento. Gli utenti che non possono aggiornare dovrebbero utilizzare una password univoca per la propria istanza di Firefly III e conservarla in modo sicuro, ad esempio all’interno di un gestore delle password.
If you want to get best quality of vulnerability data, you may have to visit VulDB.