Fałszowanie żądań ze strony serwera w czacie klienta Zoom Client for Meetings

Biuletyn: ZSB-21021
CVEID: CVE-2021-34425
Poziom istotności CVSS: Średnia
Wynik CVSS: 4.7
Ciąg wektora CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Opis:

Klient Zoom Client for Meetings przed wersją 5.7.3 (dla systemów Android, iOS, Linux, macOS i Windows) zawiera słaby punkt polegający na fałszowaniu żądań ze strony serwera w funkcji „podgląd łącza” czatu. W wersjach przed 5.7.3, gdy użytkownik włączał funkcję „podglądu łącza” czatu, złośliwy element mógł wymusić na nim ewentualne przesyłanie arbitralnych żądań HTTP GET do URL, do których element nie może zyskać bezpośrednio dostępu.

Użytkownicy mogą zapewnić sobie bezpieczeństwo, stosując aktualizacje lub pobierając najnowsze oprogramowanie Zoom ze wszystkimi aktualizacjami zabezpieczeń ze strony https://zoom.us/download.

Produkty, których to dotyczy:

All Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.7.3

Źródło:

Zgłoszenie: Johnny Yu z Walmart Global Tech

Revision	Data	Opis
1.0	12/14/2021	Wstępna publikacja

Fałszowanie żądań ze strony serwera w czacie klienta Zoom Client for Meetings

Subskrybuj, aby móc aktualizować