Múltiples Vulnerabilidades en Productos de Zoom

28/01/2025 Noticias 0

Se han identificado múltiples vulnerabilidades en los productos de Zoom. Un atacante remoto podría aprovechar estas vulnerabilidades para provocar condiciones de denegación de servicio, manipulación de datos, elevación de privilegios y divulgación de información confidencial.

Productos Afectados

  • Zoom Workplace App para Linux en versiones anteriores a  6.2.10
  • Zoom Meeting SDK para Linux en versiones anteriores a 6.2.10
  • Zoom Video SDK para Linux en versiones anteriores a 6.2.10
  • Zoom Jenkins bot plugin en versiones anteriores a 1.6
  • Zoom Workplace App para Windows en versiones anteriores a 6.2.5
  • Zoom Workplace VDI Client para Windows en versiones anteriores a 6.1.13 (excepto 6.0.15)
  • Zoom Rooms Client para Windows en versiones anteriores a 6.2.5
  • Zoom Rooms Controller para Windows en versiones anteriores a 6.2.5
  • Zoom Meeting SDK para Windows en versiones anteriores a 6.2.5
  • Zoom Video SDK para Windows en versiones anteriores a 6.2.

Impacto

Vulnerabilidades de severidad alta:

  • CVE-2025-0147: Puntuación CVSS de 8,8. La confusión de tipos en la aplicación Zoom Workplace para Linux anterior a la versión 6.2.10 puede permitir que un usuario autorizado realice una escalada de privilegios a través del acceso a la red. Esta vulnerabilidad representa un riesgo significativo, ya que puede ser explotada de forma remota y no requiere privilegios especiales, lo que la hace accesible para atacantes con habilidades básicas.

Vulnerabilidades de severidad Media:

  • CVE-2025-01472: Puntuación CVSS de 4.3. El almacenamiento de información confidencial en texto sin formato en el complemento de bot Jenkins de Zoom anterior a la versión 1.6 puede permitir divulgación de información a través del acceso a la red.
  • CVE-2025-01473: Puntuación CVSS de 4.3. La escritura fuera de límites en la aplicación Zoom Workplace para Linux anterior a la versión 6.2.5 puede permitir denegación de servicio a través del acceso a la red.
  • CVE-2025-01475: Puntuación CVSS de 4.6. La ruta de búsqueda no confiable en el instalador de aplicaciones de Zoom Workplace para Windows puede permitir escalada de privilegios a través del acceso local.

Recomendaciones

Aplicar las últimas actualizaciones de seguridad disponibles en el sitio web oficial. 

Referencias

  • https://www.zoom.com/es/trust/security-bulletin/zsb-25001
  • https://www.zoom.com/es/trust/security-bulletin/zsb-25002
  • https://www.zoom.com/es/trust/security-bulletin/zsb-25004
  • https://www.zoom.com/es/trust/security-bulletin/zsb-25006