Nieprawidłowa walidacja danych wejściowych w produktach Zoom dla systemu Windows umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie privilege escalation przez sieć. Podatność uzyskała ocenę krytyczną CVSS 9.6, co czyni ją poważnym zagrożeniem dla organizacji korzystających z tych rozwiązań.
▸ Pokaż oryginał (EN)
Improper input validation in Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows may allow an unauthenticated user to conduct an escalation of privilege via network access.
Błąd polega na niewłaściwej walidacji danych wejściowych (improper input validation) w Zoom Desktop Client dla Windows, Zoom VDI Client dla Windows oraz Zoom Meeting SDK dla Windows. Atakujący może przesłać przez sieć specjalnie spreparowane dane do podatnej aplikacji bez konieczności posiadania jakiegokolwiek uwierzytelnienia. Interakcja użytkownika jest wymagana (UI:R), co oznacza, że ofiara musi wykonać określoną czynność, np. otworzyć złośliwy link lub dołączyć do spreparowanego spotkania. Skutkuje to eskalacją uprawnień w kontekście zaatakowanego systemu.
Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia na systemie ofiary, co potencjalnie prowadzi do przejęcia kontroli nad systemem, naruszenia poufności i integralności danych oraz zakłócenia dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Zoom: https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/
Zoom Desktop Client dla Windows, Zoom VDI Client dla Windows, Zoom Meeting SDK dla Windows, Zoom Rooms — wersje wskazane w referencjach producenta (biuletyn ZSB-24008)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HZoom Meeting Software Development Kit
APPZoom< 5.16.5Zoom Rooms
APPZoom< 5.17.0Zoom Vdi Windows Meeting Clients
APPZoom< 5.14.14< 5.15.12< 5.16.10Zoom
APPZoom< 5.16.5
Powiązane podatności
Untrusted search path w klientach Zoom dla Windows — privilege escalation przez sieć
Improper neutralization of special elements in Zoom Desktop Client for Windows and Zoom VDI Client before 5.15...
Improper input validation in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user t...
Path traversal in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user to enable an...
The Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.11.0 are susceptib...