Análisis inadecuado de XML en Zoom Client for Meetings

Boletín: ZSB-22006
CVEID: CVE-2022-22784
Gravedad de CVSS: Alta
Puntuación de CVSS: 8.1
Cadena de vectores CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Descripción:

Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) anterior a la versión 5.10.0 no analiza correctamente las estrofas XML en los mensajes XMPP. Esto puede permitir a un usuario malintencionado salirse del contexto actual del mensaje XMPP y crear un nuevo contexto de mensaje para que el cliente del usuario receptor realice diversas acciones. Este problema podría ser utilizado en un ataque más sofisticado para falsificar mensajes XMPP desde el servidor.

Los usuarios pueden ayudar a mantenerse seguros aplicando las actualizaciones vigentes o descargando el último software de Zoom con todas las actualizaciones de seguridad vigentes desde https://zoom.us/download.

Productos afectados:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

Fuente:

Informado por Ivan Fratric de Google Project Zero

Revision	Fecha	Descripción
1.0	05/17/2022	Publicación inicial

Análisis inadecuado de XML en Zoom Client for Meetings

Suscribirse a las actualizaciones