Vulnerabilidad en Firefly III (CVE-2024-37893)

Firefly III es un administrador de finanzas personales gratuito y de código abierto. En las versiones afectadas, una omisión de MFA en el flujo OAuth del Firefly III puede permitir a usuarios malintencionados omitir la verificación de MFA. Esto permite a usuarios malintencionados utilizar la pulverización de contraseñas para obtener acceso a los datos de Firefly III utilizando contraseñas robadas de otras fuentes. Como las aplicaciones OAuth se pueden enumerar fácilmente utilizando una identificación incremental, un atacante podría intentar registrar una aplicación OAuth en el perfil de un usuario con bastante facilidad si ha creado uno. El atacante también necesitaría saber el nombre de usuario y la contraseña de la víctima. Este problema se solucionó en Firefly III v6.1.17 y versiones posteriores. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben utilizar una contraseña única para su instancia de Firefly III y almacenarla de forma segura, es decir, en un administrador de contraseñas.