Zoom e Xerox corrigiram falhas críticas de segurança em Zoom Clients para Windows e FreeFlow Core, que poderiam permitir a escalada de privilégios e a execução remota de código.
A vulnerabilidade que afeta o Zoom Clients para Windows, identificada como
CVE-2025-49457
(pontuação CVSS: 9.6), está relacionada a um caso de um caminho de busca não confiável que poderia pavimentar o caminho para a escalada de privilégios.
"Um caminho de busca não confiável em certos Zoom Clients para Windows pode permitir que um usuário não autenticado realize uma escalada de privilégios via acesso à rede", disse o Zoom em um boletim de segurança na terça-feira(12).
O problema, relatado por sua própria equipe de Segurança Ofensiva, afeta os seguintes produtos:
Zoom Workplace para Windows antes da versão 6.3.10
Zoom Workplace VDI para Windows antes da versão 6.3.10 (exceto 6.1.16 e 6.2.12)
Zoom Rooms para Windows antes da versão 6.3.10
Zoom Rooms Controller para Windows antes da versão 6.3.10
Zoom Meeting SDK para Windows antes da versão 6.3.10
A divulgação ocorre enquanto múltiplas vulnerabilidades foram divulgadas no Xerox FreeFlow Core, sendo as mais graves capazes de resultar em execução de código remoto.
As questões, que foram corrigidas na versão 8.0.4, incluem:
-
CVE-2025-8355
(pontuação CVSS: 7.5) - Vulnerabilidade de injeção de Entidade Externa XML (XXE) levando a falsificação de pedido do lado do servidor (SSRF).
-
CVE-2025-8356
(pontuação CVSS: 9.8) - Vulnerabilidade de percurso de caminho levando à execução remota de código
"Estas vulnerabilidades são elementares de explorar e, se exploradas, poderiam permitir que um atacante executasse comandos arbitrários no sistema afetado, roubasse dados sensíveis ou tentasse mover-se lateralmente em um dado ambiente corporativo para avançar seu ataque", disse a Horizon3.ai.
.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...