Análisis incorrecto de URL en clientes de Zoom [Actualizado 2022-10-24]

Boletín: ZSB-22016
CVEID: CVE-2022-28755
Gravedad de CVSS: Crítico
Puntuación de CVSS: 9.6
Cadena de vectores CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Descripción:

El Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) anterior a la versión 5.11.0 es susceptible de una vulnerabilidad de análisis de URL. Si se abre una URL maliciosa de Zoom Meetings, el enlace malicioso puede dirigir al usuario a conectarse a una dirección de red arbitraria, lo que da lugar a ataques adicionales, incluida la posibilidad de ejecución remota de código mediante el lanzamiento de ejecutables desde rutas arbitrarias.

* Cambios - 24/10/2022: se ha añadido Zoom Rooms a la sección «Productos afectados».

Los usuarios pueden ayudar a mantenerse seguros aplicando las actualizaciones vigentes o descargando el último software de Zoom con todas las actualizaciones de seguridad vigentes desde https://zoom.us/download.

Productos afectados:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.11.0

Fuente:

Informado por el equipo de Seguridad Ofensiva de Zoom

Revision	Fecha	Descripción
1.1	10/24/2022	Se ha añadido Zoom Rooms a la sección "Productos afectados".
1.0	08/09/2022	Publicación inicial

Análisis incorrecto de URL en clientes de Zoom [Actualizado 2022-10-24]

Suscribirse a las actualizaciones