Se han detectado 6 vulnerabilidades en productos Zoom, incluyendo 2 vulnerabilidades de severidad alta. Estas vulnerabilidades permitirían la escalada de privilegios, la filtración de información sensible y ataques de denegación de servicio (DoS).
Productos Afectados
Meeting SDK para Android, iOS, Linux, macOS y Windows – Versiones anteriores a 6.2.0
Rooms Client para iPad, macOS y Windows – Versiones anteriores a 6.2.0
Rooms Controller para Android, Linux, macOS y Windows – Versiones anteriores a 6.2.0
Video SDK para Android, iOS, Linux, macOS y Windows – Versiones anteriores a 6.2.0
Workplace App para Android, iOS, Linux, macOS y Windows – Versiones anteriores a 6.2.0
Workplace VDI Client para Windows – Versiones anteriores a 6.1.12 (excluyendo 6.0.14)
Impacto
Las vulnerabilidades de severidad alta se identifican como:
CVE-2024-45421: Puntuación CVSS 8.5. Un desbordamiento en el buffer podría permitir a un actor malicioso autenticado escalar privilegios.
CVE-2024-45419: Puntuación CVSS 8.1. Una inapropiada validación de entrada podría permitir a un actor malicioso no autenticado revelar información sensible en la red.
Las demás vulnerabilidades se identifican como:
CVE-2024-45422: Puntuación CVSS 6.5. Una inapropiada validación de entrada podría permitir a un actor malicioso no autenticado causar condiciones de tipo Denial of Service (DoS).
CVE-2024-45417: Puntuación CVSS 6. Un consumo inapropiado de recursos podría permitir a un actor malicioso con cierto nivel de privilegios revelar información sensible en la red.
CVE-2024-45418: Puntuación CVSS 5.4. Una vulnerabilidad en el instalador podría permitir a un actor malicioso autenticado escalar privilegios.
CVE-2024-45420: Puntuación CVSS 4.3. Un consumo inapropiado de recursos podría permitir a un actor malicioso autenticado causar condiciones de tipo Denial of Service (DoS).
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencia
https://www.zoom.com/en/trust/security-bulletin/ZSB-24039/