Zraniteľnosti produktov Zoom pre Windows umožňujú navýšiť oprávnenia a prevziať účty

Spoločnosť Zoom vydala aktualizácie pre kritickú zraniteľnosť v Zoom Workplace pre Windows. CVE-2026-53412 môže neautentifikovanému útočníkovi umožniť prevziať používateľský účet. Zároveň opravila tri vysoko závažné zraniteľnosti, ktoré umožňujú získať vyššie oprávnenia a zasahujú niektoré ďalšie produkty.

Zraniteľné systémy:

  • Zoom Workplace pre Windows, verzie staršie ako 7.0.5
  • Zoom Workplace VDI Client pre Windows, verzie staršie ako 7.0.10
  • Zoom Workplace VDI Client pre Windows, verzie staršie ako 6.6.15
  • Zoom Workplace VDI Client pre Windows, verzie staršie ako 6.5.18
  • Zoom Workplace VDI Plugin pre Windows, verzie staršie ako 6.6.14
  • Zoom Workplace VDI Plugin pre Windows, verzie staršie ako 6.5.17
  • Zoom Rooms pre Windows, verzie staršie ako 7.1.0
  • Remote Control for Zoom Contact Center pre Windows, verzie staršie ako 7.0.0

Opis činnosti:

CVE-2026-53412 (CVSS skóre 9,8)

Verzie Zoom Workplace a Zoom Workplace VDI Client pre Windows obsahujú kritickú zraniteľnosť, ktorá súvisí s nedostatočným overovaním vstupov. Neautentifikovaný vzdialený útočník ju môže zneužiť na prevzatie kontroly nad účtom.

CVE-2026-53411 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť umožňujúca lokálnemu autentifikovanému útočníkovi eskalovať svoje oprávnenia. Zraniteľnosť sa nachádza v Zoom Workplace VDI Plugin pre Windows a súvisí s nesprávne nastavenou kontrolou vstupov.

CVE-2026-53410 (CVSS skóre 7,0)

Vysoko závažná zraniteľnosť vyplývajúca zo súbehu typu TOCTOU umožňuje lokálnemu autentifikovanému útočníkovi eskalovať svoje oprávnenia. Zraniteľnosť sa nachádza v inštalačnom a odinštalačnom procese produktov Zoom Workplace, Zoom Workplace VDI Client a Plugin, Zoom Rooms a Remote Control for Zoom Contact Center. Zasiahnuté sú verzie pre Windows.

CVE-2026-53409 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť umožňujúca lokálnemu autentifikovanému útočníkovi eskalovať svoje oprávnenia. Zraniteľnosť sa nachádza v Zoom Rooms pre Windows a súvisí s nesprávne implementovanou správou oprávnení.

Možné škody:

  • Obídenie bezpečnostných prvkov
  • Prevzatie kontroly nad zraniteľnou aplikáciou
  • Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia Zoom Workplace pre Windows aspoň na verziu 7.0.5 a Zoom Workspace VDI Client pre Windows aspoň na verziu 7.0.10, 6.6.15 alebo 6.5.18.

Aktualizujte tiež Zoom Workplace VDI Plugin pre Windows, aspoň na verziu 6.6.14 alebo 6.5.17.

Zoom Rooms pre Windows aktualizujte aspoň na verziu 7.1.0 a Remote Control for Zoom Contact Center pre Windows aspoň na 7.0.0.

Odkazy: