CVE-2024-37893 in Firefly IIIИнформация

Сводка

по VulDB • 13.05.2026

Firefly III — это бесплатная система управления личными финансами с открытым исходным кодом. В затронутых версиях обход многофакторной аутентификации (MFA) в потоке OAuth Firefly III может позволить злоумышленникам обойти проверку MFA. Это дает злоумышленникам возможность использовать метод password spraying для получения доступа к данным Firefly III с использованием паролей, украденных из других источников. Поскольку приложения OAuth легко перечисляются с помощью инкрементируемого идентификатора, злоумышленник может довольно легко попытаться зарегистрировать приложение OAuth в профиле пользователя, если оно уже создано. Для этого злоумышленнику также необходимо знать имя пользователя и пароль жертвы. Эта проблема исправлена в Firefly III версии v6.1.17 и более поздних. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, должны использовать уникальный пароль для своего экземпляра Firefly III и надежно хранить его, например, в менеджере паролей.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub, Inc.

Резервировать

10.06.2024

Раскрытие

17.06.2024

Модерация

принято

Вход

VDB-268847

EPSS

0.00594

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!