Zoom e Xerox corrigem falhas críticas
13 de Agosto de 2025

Zoom e Xerox corrigiram falhas críticas de segurança em Zoom Clients para Windows e FreeFlow Core, que poderiam permitir a escalada de privilégios e a execução remota de código.

A vulnerabilidade que afeta o Zoom Clients para Windows, identificada como CVE-2025-49457 (pontuação CVSS: 9.6), está relacionada a um caso de um caminho de busca não confiável que poderia pavimentar o caminho para a escalada de privilégios.

"Um caminho de busca não confiável em certos Zoom Clients para Windows pode permitir que um usuário não autenticado realize uma escalada de privilégios via acesso à rede", disse o Zoom em um boletim de segurança na terça-feira(12).

O problema, relatado por sua própria equipe de Segurança Ofensiva, afeta os seguintes produtos:

Zoom Workplace para Windows antes da versão 6.3.10
Zoom Workplace VDI para Windows antes da versão 6.3.10 (exceto 6.1.16 e 6.2.12)
Zoom Rooms para Windows antes da versão 6.3.10
Zoom Rooms Controller para Windows antes da versão 6.3.10
Zoom Meeting SDK para Windows antes da versão 6.3.10

A divulgação ocorre enquanto múltiplas vulnerabilidades foram divulgadas no Xerox FreeFlow Core, sendo as mais graves capazes de resultar em execução de código remoto.

As questões, que foram corrigidas na versão 8.0.4, incluem:

- CVE-2025-8355 (pontuação CVSS: 7.5) - Vulnerabilidade de injeção de Entidade Externa XML (XXE) levando a falsificação de pedido do lado do servidor (SSRF).

- CVE-2025-8356 (pontuação CVSS: 9.8) - Vulnerabilidade de percurso de caminho levando à execução remota de código

"Estas vulnerabilidades são elementares de explorar e, se exploradas, poderiam permitir que um atacante executasse comandos arbitrários no sistema afetado, roubasse dados sensíveis ou tentasse mover-se lateralmente em um dado ambiente corporativo para avançar seu ataque", disse a Horizon3.ai.

.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...