Неавторизованный доступ и отказ в обслуживании: найдены уязвимости в FreeIPA и React Native Image Picker

Неавторизованный доступ и отказ в обслуживании: найдены уязвимости в FreeIPA и React Native Image Picker

Эксперты рекомендуют обновить системы для предотвращения нежелательных последствий.

image

Специалисты из Angara Security обнаружили две уязвимости в IT-решениях FreeIPA (открытый проект компании RedHat) и React Native Image Picker (библиотека React Native). Уязвимости были выявлены в ходе исследования безопасности web- и мобильных приложений озвученных решений.

В системе FreeIPA найдена уязвимость с идентификатором CVE-2024–1481, оцененная в 5,3 балла по шкале CVSS. Этот недостаток позволяет неавторизованным пользователям через специально сформированный HTTP-запрос вызвать отказ в обслуживании контроллера домена на базе FreeIPA. По словам представителей компании, многие российские решения для импортозамещения Microsoft AD построены на FreeIPA и, вероятнее всего, все они содержат найденную уязвимость.

Разработчики FreeIPA быстро устранили проблему и выпустили обновление , поэтому рекомендуется незамедлительно обновить зависимое от решения ПО.

Вторая уязвимость, обнаруженная в React Native Image Picker, имеет идентификатор CVE-2024–25 466 и оценивается как критическая, хотя на момент публикации отсутствует точная оценка по CVSS. Она дает возможность редактировать файлы внутри контейнера приложения. Это, в свою очередь, ведёт к ACE (arbitrary code execution) при перезаписи файла .so, используемым приложением. Такой дефект безопасности позволяет злоумышленнику в ходе локальной атаки выполнить произвольный код с помощью созданного сценария в компоненте библиотеки Android.

Главная опасность CVE-2024–25 466 заключается в возможной компрометации личных данных пользователя, что открывает путь для выполнения различных операций от его имени. Эксперты компании настоятельно рекомендуют обновить библиотеку до последней версии, чтобы избежать возможных рисков.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь