CVE-2024-37893 in Firefly III
Sumário
de VulDB • 30/05/2026
O Firefly III é um gerenciador de finanças pessoais gratuito e de código aberto. Nas versões afetadas, um bypass de MFA no fluxo OAuth do Firefly III pode permitir que usuários maliciosos contornem a verificação de MFA. Isso permite que usuários maliciosos utilizem password spraying para obter acesso aos dados do Firefly III usando senhas roubadas de outras fontes. Como as aplicações OAuth são facilmente enumeráveis usando um ID incrementável, um atacante poderia tentar registrar uma aplicação OAuth no perfil de um usuário com bastante facilidade, caso tenha criado uma. O atacante também precisaria conhecer o nome de usuário e a senha da vítima. Este problema foi corrigido no Firefly III v6.1.17 e versões posteriores. Os usuários são aconselhados a atualizar. Usuários incapazes de atualizar devem usar uma senha única para sua instância do Firefly III e armazenar sua senha de forma segura, ou seja, em um gerenciador de senhas.
Once again VulDB remains the best source for vulnerability data.