CVE-2024-37893 in Firefly III
Сводка
по VulDB • 13.05.2026
Firefly III — это бесплатная система управления личными финансами с открытым исходным кодом. В затронутых версиях обход многофакторной аутентификации (MFA) в потоке OAuth Firefly III может позволить злоумышленникам обойти проверку MFA. Это дает злоумышленникам возможность использовать метод password spraying для получения доступа к данным Firefly III с использованием паролей, украденных из других источников. Поскольку приложения OAuth легко перечисляются с помощью инкрементируемого идентификатора, злоумышленник может довольно легко попытаться зарегистрировать приложение OAuth в профиле пользователя, если оно уже создано. Для этого злоумышленнику также необходимо знать имя пользователя и пароль жертвы. Эта проблема исправлена в Firefly III версии v6.1.17 и более поздних. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, должны использовать уникальный пароль для своего экземпляра Firefly III и надежно хранить его, например, в менеджере паролей.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.