В ИТ-продуктах FreeIPA (открытый проект компании RedHat) и React Native Image Picker (библиотека React Native) выявлены уязвимости средней и высокой критичности соответственно. Уязвимости обнаружили эксперты отдела анализа защищенности Angara Security в ходе исследования безопасности web- и мобильных приложений.
«В России FreeIPA — это практически единственное решение для импортозамещения Microsoft AD. Чтобы воспользоваться этой уязвимостью, злоумышленнику не нужна даже учетная запись. Однако средний уровень критичности обусловлен необходимостью множественных запросов к серверу. Вероятнее всего, все решения на базе FreeIPA содержат эту же уязвимость. В целом, разработчики довольно оперативно устранили недостаток и опубликовали информацию об уязвимости, поэтому стоит выполнить оперативное обновление зависимого ПО», — комментирует Михаил Сухов, руководитель отдела анализа защищенности Angara Security.
React Native Image Picker используют для разработки приложений с загрузкой изображений и для задач, в которых требуется выбрать фотографии из галереи и камеры. Уязвимость обхода каталога CVE-2024-25466 высокого уровня критичности была выявлена в результате динамического и статического анализа мобильного приложения, в котором использовалась данная библиотека.
