Contraffazione delle richieste sul lato server nella chat di Zoom Client for Meetings

Bollettino: ZSB-21021
CVEID: CVE-2021-34425
Gravità CVSS: Media
Punteggio CVSS: 4.7
Stringa del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Descrizione:

Zoom Client for Meetings prima della versione 5.7.3 (per Android, iOS, Linux, macOS e Windows) contiene una vulnerabilità di tipo "server side request forgery" nella funzionalità di "anteprima del link" della chat. Nelle versioni precedenti alla 5.7.3, se un utente abilitava la funzione "anteprima del link" della chat, un attore malintenzionato poteva ingannare l'utente e potenzialmente inviare richieste HTTP GET arbitrarie a URL che l'attore non può raggiungere direttamente.

Gli utenti possono contribuire a mantenersi sicuri applicando gli aggiornamenti attuali o scaricando il software Zoom più recente con tutti gli aggiornamenti di sicurezza attuali da https://zoom.us/it/download.

Prodotti interessati:

All Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.7.3

Origine:

Riportato da Johnny Yu di Walmart Global Tech

Revision	Data	Descrizione
1.0	12/14/2021	Pubblicazione iniziale

Contraffazione delle richieste sul lato server nella chat di Zoom Client for Meetings

Abbonati per gli aggiornamenti