Meetings
Уязвимости
37
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04033
Распределение по критичности
Критический
4
Высокий
26
Средний
5
Низкий
2
Затронутые диапазоны версий
5.10.6–5.12.05.7.3–5.11.55.7.3–5.11.6< 5.10.0< 5.10.3< 5.11.3< 5.12.2< 5.12.6< 5.13.5< 5.15.10< 5.16.0< 5.2.0< 5.3.0< 5.3.2< 5.4.0< 5.6.3< 5.7.3< 5.8.4< 5.9.6< 5.9.7≤ 4.6.8≤ 4.6.9
Также сопоставлено как (исходные строки): meetings,rooms,rooms_for_conference_rooms,virtual_desktop_infrastructure,zoom_plugin_for_microsoft_outlook,video_software_development_kit,zoom,screen_sharing,vdi_windows_meeting_clients
Топ уязвимостей
CVE-2021-34423Уязвимость переполнения буфера была обнаружена в Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4, Zoom Client for Meetings for Blackberry (для Android и iOS) до версии 5.8.1, Zoom Client for Meetings for intune (для Android и iOS) до версии 5.8.4, Zoom Client for Meetings for Chrome OS до версии 5.0.1, Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) до версии 5.8.3, Controllers for Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3, Zoom VDI Windows Meeting Client до версии 5.8.4, Zoom VDI Azure Virtual Desktop Plugins (для Windows x86 или x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112, Zoom VDI Citrix Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom VDI VMware Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom Meeting SDK для Android до версии 5.7.6.1922, Zoom Meeting SDK для iOS до версии 5.7.6.1082, Zoom Meeting SDK для macOS до версии 5.7.6.1340, Zoom Meeting SDK для Windows до версии 5.7.6.1081, Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2, Zoom On-Premise Meeting Connector Controller до версии 4.8.12.20211115, Zoom On-Premise Meeting Connector MMR до версии 4.8.12.20211115, Zoom On-Premise Recording Connector до версии 5.1.0.65.20211116, Zoom On-Premise Virtual Room Connector до версии 4.4.7266.20211117, Zoom On-Premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117, Zoom Hybrid Zproxy до версии 1.0.1058.20211116 и Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64. Это может позволить злоумышленнику вывести из строя службу или приложение или использовать эту уязвимость для выполнения произвольного кода.
CVE-2021-33907Zoom Client for Meetings для Windows во всех версиях до 5.3.0 не выполняет надлежащую проверку информации о сертификате, используемой для подписи .msi файлов при выполнении обновления клиента. Это может привести к удаленному выполнению кода в контексте повышенных привилегий.
CVE-2022-28763Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержен уязвимости разбора URL-адресов. Если открыт вредоносный URL-адрес собрания Zoom, вредоносная ссылка может направить пользователя к подключению к произвольному сетевому адресу, что приведет к дополнительным атакам, включая захват сеанса.
CVE-2022-22785Zoom Client for Meetings (для Android, iOS, Linux, MacOS и Windows) до версии 5.10.0 не смог должным образом ограничить файлы cookie клиентской сессии доменами Zoom. Эта проблема может быть использована в более сложной атаке для отправки ничего не подозревающим пользователям файлов cookie сеанса с областью действия Zoom в домен, отличный от Zoom. Это потенциально может позволить подделать пользователя Zoom.
CVE-2023-43582Неправильная авторизация в некоторых клиентах Zoom может позволить авторизованному пользователю провести повышение привилегий через сетевой доступ.
CVE-2022-22786Zoom Client for Meetings для Windows до версии 5.10.0 и Zoom Rooms для конференц-залов для Windows до версии 5.10.0 не смогли должным образом проверить версию установки во время процесса обновления. Эта проблема может быть использована в более сложной атаке, чтобы обманом заставить пользователя понизить версию своего клиента Zoom до менее безопасной версии.
CVE-2022-22784Zoom Client for Meetings (для Android, iOS, Linux, MacOS и Windows) до версии 5.10.0 не смог должным образом проанализировать XML-стансы в сообщениях XMPP. Это может позволить злоумышленнику вырваться из текущего контекста сообщения XMPP и создать новый контекст сообщения, чтобы клиент получающего пользователя выполнял различные действия. Эта проблема может быть использована в более сложной атаке для подделки сообщений XMPP с сервера.
CVE-2023-28596Установщики Zoom Client для администраторов macOS до версии 5.13.5 содержат уязвимость повышения локальных привилегий. Локальный пользователь с низкими привилегиями может использовать эту уязвимость в цепочке атак во время процесса установки для повышения своих привилегий до привилегий root.
CVE-2023-22883Zoom Client для установщиков IT Admin Windows до версии 5.13.5 содержат уязвимость локального повышения привилегий. Локальный пользователь с низкими привилегиями может использовать эту уязвимость в цепочке атак во время процесса установки, чтобы повысить свои привилегии до пользователя SYSTEM.
CVE-2022-28768Zoom Client for Meetings Installer для macOS (Standard и для IT Admin) до версии 5.12.6 содержит уязвимость локального повышения привилегий. Локальный пользователь с низкими привилегиями может воспользоваться этой уязвимостью во время процесса установки, чтобы повысить свои привилегии до root.
CVE-2022-28762Zoom Client for Meetings для macOS (Standard и для IT Admin), начиная с версии 5.10.6 и до 5.12.0, содержит неправильную конфигурацию порта отладки. Когда контекст рендеринга режима камеры включен как часть Zoom App Layers API при запуске определенных приложений Zoom, клиентом Zoom открывается локальный порт отладки. Локальный злоумышленник может использовать этот порт отладки для подключения и управления приложениями Zoom, работающими в клиенте Zoom.
CVE-2022-28757Zoom Client for Meetings для macOS (Standard и для IT Admin), начиная с версии 5.7.3 и до 5.11.6, содержит уязвимость в процессе автоматического обновления. Локальный пользователь с низкими привилегиями может воспользоваться этой уязвимостью для повышения своих привилегий до root.
CVE-2022-28756Zoom Client for Meetings для macOS (Standard и для IT Admin), начиная с версии 5.7.3 и до 5.11.5, содержит уязвимость в процессе автоматического обновления. Локальный пользователь с низкими привилегиями может воспользоваться этой уязвимостью для повышения своих привилегий до root.
CVE-2022-28751Zoom Client for Meetings для MacOS (Standard и для IT Admin) до версии 5.11.3 содержит уязвимость в проверке подписи пакета во время процесса обновления. Локальный пользователь с низкими привилегиями может воспользоваться этой уязвимостью для повышения своих привилегий до root.
CVE-2022-22788Установщик Zoom Opener загружается пользователем со страницы «Запустить встречу» при попытке присоединиться к встрече без установленного Zoom Meeting Client. Установщик Zoom Opener для Zoom Client for Meetings до версии 5.10.3 и Zoom Rooms для конференц-залов для Windows до версии 5.10.3 подвержены атаке DLL-инъекции. Эта уязвимость может быть использована для запуска произвольного кода на хосте жертвы.
CVE-2021-34412Во время процесса установки всех версий Zoom Client for Meetings для Windows до 5.4.0 можно запустить Internet Explorer. Если установщик был запущен с повышенными привилегиями, например, с помощью SCCM, это может привести к локальному повышению привилегий.
CVE-2021-34409Было обнаружено, что установочные пакеты Zoom Client for Meetings для MacOS (Standard и для ИТ-администраторов) до версии 5.2.0, Zoom Client Plugin для совместного использования iPhone/iPad до версии 5.2.0 и Zoom Rooms для конференций до версии 5.1.0 копируют сценарии оболочки до и после установки в каталог, доступный для записи пользователем. В перечисленных ниже уязвимых продуктах злоумышленник с локальным доступом к машине пользователя может использовать этот недостаток для потенциального запуска произвольных системных команд в контексте более высоких привилегий во время процесса установки.
CVE-2021-34408Zoom Client for Meetings для Windows во всех версиях до версии 5.3.2 записывает файлы журналов в каталог, доступный для записи пользователем, как привилегированный пользователь во время установки или обновления клиента. Это может привести к потенциальному повышению привилегий, если была создана связь между используемым каталогом, доступным для записи пользователем, и каталогом, недоступным для записи пользователем.
CVE-2020-11469Zoom Client for Meetings до версии 4.6.8 в macOS копирует runwithroot во временный каталог, доступный для записи пользователю во время установки, что позволяет локальному процессу (с привилегиями пользователя) получить root-доступ, заменив runwithroot.
CVE-2023-39206Переполнение буфера в некоторых клиентах Zoom может позволить неаутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-39204Переполнение буфера в некоторых клиентах Zoom может позволить неаутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-36539Раскрытие информации, предназначенной для шифрования некоторыми клиентами Zoom, может привести к раскрытию конфиденциальной информации.
CVE-2022-22787Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.10.0 не может должным образом проверить имя хоста во время запроса на переключение сервера. Эта проблема может быть использована в более сложной атаке, чтобы обманом заставить клиент ничего не подозревающего пользователя подключиться к вредоносному серверу при попытке использовать службы Zoom.
CVE-2022-22781Zoom Client for Meetings для MacOS (Standard и для IT Admin) до версии 5.9.6 не смог должным образом проверить версию пакета во время процесса обновления. Это может привести к тому, что злоумышленник обновит текущую установленную версию ничего не подозревающего пользователя до менее безопасной версии.
CVE-2021-34424Уязвимость была обнаружена в Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4, Zoom Client for Meetings for Blackberry (для Android и iOS) до версии 5.8.1, Zoom Client for Meetings for intune (для Android и iOS) до версии 5.8.4, Zoom Client for Meetings for Chrome OS до версии 5.0.1, Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) до версии 5.8.3, Controllers for Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3, Zoom VDI Windows Meeting Client до версии 5.8.4, Zoom VDI Azure Virtual Desktop Plugins (для Windows x86 или x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112, Zoom VDI Citrix Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom VDI VMware Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom Meeting SDK для Android до версии 5.7.6.1922, Zoom Meeting SDK для iOS до версии 5.7.6.1082, Zoom Meeting SDK для macOS до версии 5.7.6.1340, Zoom Meeting SDK для Windows до версии 5.7.6.1081, Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2, Zoom on-premise Meeting Connector до версии 4.8.12.20211115, Zoom on-premise Meeting Connector MMR до версии 4.8.12.20211115, Zoom on-premise Recording Connector до версии 5.1.0.65.20211116, Zoom on-premise Virtual Room Connector до версии 4.4.7266.20211117, Zoom on-premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117, Zoom Hybrid Zproxy до версии 1.0.1058.20211116 и Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64, которая потенциально позволяла раскрыть состояние памяти процесса. Эта проблема может быть использована для получения информации о произвольных областях памяти продукта.