CRITICAL🇬🇧 English

CVE-2024-24691

Privilege escalation w Zoom Desktop Client, VDI Client i Meeting SDK dla Windows

CVSS 9.6v3.1pub. 2024-02-14upd. 2024-11-21

Nieprawidłowa walidacja danych wejściowych w produktach Zoom dla systemu Windows umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie privilege escalation przez sieć. Podatność uzyskała ocenę krytyczną CVSS 9.6, co czyni ją poważnym zagrożeniem dla organizacji korzystających z tych rozwiązań.

Pokaż oryginał (EN)

Improper input validation in Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows may allow an unauthenticated user to conduct an escalation of privilege via network access.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej walidacji danych wejściowych (improper input validation) w Zoom Desktop Client dla Windows, Zoom VDI Client dla Windows oraz Zoom Meeting SDK dla Windows. Atakujący może przesłać przez sieć specjalnie spreparowane dane do podatnej aplikacji bez konieczności posiadania jakiegokolwiek uwierzytelnienia. Interakcja użytkownika jest wymagana (UI:R), co oznacza, że ofiara musi wykonać określoną czynność, np. otworzyć złośliwy link lub dołączyć do spreparowanego spotkania. Skutkuje to eskalacją uprawnień w kontekście zaatakowanego systemu.

Skutki

Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia na systemie ofiary, co potencjalnie prowadzi do przejęcia kontroli nad systemem, naruszenia poufności i integralności danych oraz zakłócenia dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Zoom: https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/

Kogo dotyczy

Zoom Desktop Client dla Windows, Zoom VDI Client dla Windows, Zoom Meeting SDK dla Windows, Zoom Rooms — wersje wskazane w referencjach producenta (biuletyn ZSB-24008)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Zoom Meeting Software Development Kit

    APP
    Zoom
    < 5.16.5
  • Zoom Rooms

    APP
    Zoom
    < 5.17.0
  • Zoom Vdi Windows Meeting Clients

    APP
    Zoom
    < 5.14.14< 5.15.12< 5.16.10
  • Zoom

    APP
    Zoom
    < 5.16.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-49457CRITICAL9.6PL ✓ten sam produkt

Untrusted search path w klientach Zoom dla Windows — privilege escalation przez sieć

CVE-2023-39213CRITICAL9.6ten sam produkt

Improper neutralization of special elements in Zoom Desktop Client for Windows and Zoom VDI Client before 5.15...

CVE-2023-39216CRITICAL9.6ten sam produkt

Improper input validation in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user t...

CVE-2023-36534CRITICAL9.3ten sam produkt

Path traversal in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user to enable an...

CVE-2022-28755CRITICAL9.6ten sam produkt

The Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.11.0 are susceptib...