Cookie di sessione non correttamente vincolati in Zoom Client for Meetings

Bollettino: ZSB-22007
CVEID: CVE-2022-22785
Gravità CVSS: Media
Punteggio CVSS: 5.9
Stringa del vettore CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

Descrizione:

La versione di Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) precedente alla 5.10.0 non riesce a vincolare correttamente i cookie di sessione del client ai domini Zoom. Questo problema potrebbe essere sfruttato in un attacco più sofisticato per inviare i cookie di sessione legati a Zoom di un utente, a un dominio non di Zoom. In questo modo, si potrebbe potenzialmente consentire lo spoofing di un utente Zoom.

Gli utenti possono contribuire a mantenersi sicuri applicando gli aggiornamenti attuali o scaricando il software Zoom più recente con tutti gli aggiornamenti di sicurezza attuali da https://zoom.us/it/download.

Prodotti interessati:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

Origine:

Segnalazione di Ivan Fratric di Google Project Zero

Revision	Data	Descrizione
1.0	05/17/2022	Pubblicazione iniziale

Cookie di sessione non correttamente vincolati in Zoom Client for Meetings

Abbonati per gli aggiornamenti