CVE-2024-37893

Nome do Software Vulnerável e Versões Afetadas Firefly III versões anteriores a 6.1.17

Descrição Existe uma omissão de MFA no fluxo OAuth do Firefly III, que permite que usuários mal-intencionados ignorem a verificação de autenticação de múltiplos fatores. Essa falha permite que atacantes utilizem password spraying—uma técnica onde senhas comuns são testadas em várias contas—para obter acesso a dados usando credenciais roubadas de outras fontes. Como as aplicações OAuth utilizam um ID incremental, elas são facilmente enumeráveis, permitindo que um atacante tente registrar uma aplicação OAuth no perfil de um usuário. A exploração bem-sucedida requer que o atacante possua o nome de usuário e a senha da vítima.

Recomendações Atualizar para a versão 6.1.17 ou posterior. Utilizar uma senha exclusiva para a instância e armazená-la de forma segura em um gerenciador de senhas.