CVE-2024-37893 in Firefly IIIinformazioni

Riassunto

di VulDB • 16/06/2026

Firefly III è un gestore delle finanze personali gratuito e open source. Nelle versioni interessate, una violazione del controllo MFA (Multi-Factor Authentication) nel flusso OAuth di Firefly III potrebbe consentire agli utenti malintenzionati di eludere la verifica MFA. Ciò consente agli aggressori di utilizzare tecniche di password spraying per accedere ai dati di Firefly III utilizzando le rubriche delle credenziali sottratte da altre fonti. Poiché le applicazioni OAuth sono facilmente enumerabili tramite un ID incrementale, un attaccante potrebbe riuscire a registrare con relativa facilità una propria applicazione OAuth associandola al profilo di un utente, purché ne abbia già creata una. L'attaccante dovrebbe inoltre conoscere nome utente e password della vittima. Il problema è stato risolto in Firefly III v6.1.17 e versioni successive. Si consiglia agli utenti di effettuare l’aggiornamento. Gli utenti che non possono aggiornare dovrebbero utilizzare una password univoca per la propria istanza di Firefly III e conservarla in modo sicuro, ad esempio all’interno di un gestore delle password.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

10/06/2024

Divulgazione

17/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00594

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!