Tấn công yêu cầu giả mạo từ phía máy chủ trong trò chuyện của Zoom Client for Meetings
- ZSB-21021
- CVE-2021-34425
- Trung bình
- 4.7
- CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Zoom Client for Meetings trước phiên bản 5.7.3 (dành cho Android, iOS, Linux, macOS và Windows) chứa lỗ hổng giả mạo yêu cầu phía máy chủ trong chức năng “xem trước liên kết” của cuộc trò chuyện. Trong các phiên bản trước 5.7.3, nếu người dùng bật tính năng “xem trước liên kết” của cuộc trò chuyện, kẻ tấn công độc hại có thể lừa người dùng gửi các yêu cầu HTTP GET tùy ý tới các URL mà kẻ tấn công không thể truy cập trực tiếp.
Người dùng có thể đảm bảo an toàn cho mình bằng cách áp dụng các bản cập nhật hiện tại hoặc tải xuống phần mềm Zoom mới nhất với tất cả các bản cập nhật bảo mật hiện tại từ https://zoom.us/download.
- All Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.7.3
Đã báo cáo bởi Johnny Yu từ Walmart Global Tech
| Revision | Ngày | Mô tả |
|---|---|---|
| 1.0 | 12/14/2021 | Xuất bản lần đầu |