Virtual Desktop Infrastructure
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.03207
Распределение по критичности
Критический
3
Высокий
13
Средний
9
Низкий
0
Затронутые диапазоны версий
< 5.10.7< 5.12.2< 5.13.1< 5.13.10< 5.14.0< 5.14.10< 5.14.12< 5.14.13< 5.14.14< 5.14.5< 5.15.2< 5.8.4
Также сопоставлено как (исходные строки): meetings,rooms_for_conference_rooms,zoom,meeting_software_development_kit,video_software_development_kit,virtual_desktop_infrastructure,rooms
Топ уязвимостей
CVE-2023-39213Неправильная нейтрализация специальных элементов в Zoom Desktop Client для Windows и Zoom VDI Client до версии 5.15.2 может позволить неаутентифицированному пользователю включить повышение привилегий через сетевой доступ.
CVE-2021-34423Уязвимость переполнения буфера была обнаружена в Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4, Zoom Client for Meetings for Blackberry (для Android и iOS) до версии 5.8.1, Zoom Client for Meetings for intune (для Android и iOS) до версии 5.8.4, Zoom Client for Meetings for Chrome OS до версии 5.0.1, Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) до версии 5.8.3, Controllers for Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3, Zoom VDI Windows Meeting Client до версии 5.8.4, Zoom VDI Azure Virtual Desktop Plugins (для Windows x86 или x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112, Zoom VDI Citrix Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom VDI VMware Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom Meeting SDK для Android до версии 5.7.6.1922, Zoom Meeting SDK для iOS до версии 5.7.6.1082, Zoom Meeting SDK для macOS до версии 5.7.6.1340, Zoom Meeting SDK для Windows до версии 5.7.6.1081, Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2, Zoom On-Premise Meeting Connector Controller до версии 4.8.12.20211115, Zoom On-Premise Meeting Connector MMR до версии 4.8.12.20211115, Zoom On-Premise Recording Connector до версии 5.1.0.65.20211116, Zoom On-Premise Virtual Room Connector до версии 4.4.7266.20211117, Zoom On-Premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117, Zoom Hybrid Zproxy до версии 1.0.1058.20211116 и Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64. Это может позволить злоумышленнику вывести из строя службу или приложение или использовать эту уязвимость для выполнения произвольного кода.
CVE-2022-28763Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.12.2 подвержен уязвимости разбора URL-адресов. Если открыт вредоносный URL-адрес собрания Zoom, вредоносная ссылка может направить пользователя к подключению к произвольному сетевому адресу, что приведет к дополнительным атакам, включая захват сеанса.
CVE-2023-43586Обход пути в Zoom Desktop Client для Windows, Zoom VDI Client для Windows и Zoom SDK для Windows может позволить аутентифицированному пользователю провести повышение привилегий через сетевой доступ.
CVE-2023-43582Неправильная авторизация в некоторых клиентах Zoom может позволить авторизованному пользователю провести повышение привилегий через сетевой доступ.
CVE-2023-34121Неправильная проверка ввода в Zoom для Windows, Zoom Rooms, Zoom VDI Windows Meeting clients до версии 5.14.0 может позволить аутентифицированному пользователю потенциально включить повышение привилегий через сетевой доступ.
CVE-2023-49647Неправильный контроль доступа в Zoom Desktop Client для Windows, Zoom VDI Client для Windows и Zoom SDK для Windows до версии 5.16.10 может позволить аутентифицированному пользователю провести повышение привилегий через локальный доступ.
CVE-2023-34120Неправильное управление привилегиями в Zoom для Windows, Zoom Rooms для Windows и Zoom VDI для клиентов Windows до версии 5.14.0 может позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ. Пользователи могут потенциально использовать системные привилегии более высокого уровня, поддерживаемые клиентом Zoom, для порождения процессов с повышенными привилегиями.
CVE-2023-39206Переполнение буфера в некоторых клиентах Zoom может позволить неаутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-39204Переполнение буфера в некоторых клиентах Zoom может позволить неаутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-39203Неконтролируемое потребление ресурсов в Zoom Team Chat для Zoom Desktop Client для Windows и Zoom VDI Client может позволить неаутентифицированному пользователю провести раскрытие информации через сетевой доступ.
CVE-2023-36532Переполнение буфера в Zoom Clients до версии 5.14.5 может позволить не прошедшему проверку подлинности пользователю вызвать отказ в обслуживании через сетевой доступ.
CVE-2023-28597Клиенты Zoom до 5.13.5 содержат уязвимость неправильной реализации границы доверия. Если жертва сохраняет локальную запись в SMB-локации и затем открывает ее, используя ссылку из веб-портала Zoom, злоумышленник, находящийся в соседней сети с клиентом жертвы, может настроить вредоносный SMB-сервер для ответа на запросы клиента, что может привести к выполнению управляющих исполняемых файлов злоумышленника. Это может привести к получению злоумышленником доступа к устройству и данным пользователя и удаленному выполнению кода.
CVE-2023-22880Zoom для клиентов Windows до версии 5.13.3, Zoom Rooms для клиентов Windows до версии 5.13.5 и Zoom VDI для клиентов Windows до версии 5.13.1 содержат уязвимость раскрытия информации. Недавнее обновление среды выполнения Microsoft Edge WebView2, используемой затронутыми клиентами Zoom, передавало текст в онлайн-службу проверки орфографии Microsoft вместо локальной проверки орфографии Windows. Обновление Zoom устраняет эту уязвимость, отключая эту функцию. Обновление Microsoft Edge WebView2 Runtime как минимум до версии 109.0.1481.0 и перезапуск Zoom устраняют эту уязвимость, обновляя поведение телеметрии Microsoft.
CVE-2021-34424Уязвимость была обнаружена в Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.8.4, Zoom Client for Meetings for Blackberry (для Android и iOS) до версии 5.8.1, Zoom Client for Meetings for intune (для Android и iOS) до версии 5.8.4, Zoom Client for Meetings for Chrome OS до версии 5.0.1, Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) до версии 5.8.3, Controllers for Zoom Rooms (для Android, iOS и Windows) до версии 5.8.3, Zoom VDI Windows Meeting Client до версии 5.8.4, Zoom VDI Azure Virtual Desktop Plugins (для Windows x86 или x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) до версии 5.8.4.21112, Zoom VDI Citrix Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom VDI VMware Plugins (для Windows x86 или x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) до версии 5.8.4.21112, Zoom Meeting SDK для Android до версии 5.7.6.1922, Zoom Meeting SDK для iOS до версии 5.7.6.1082, Zoom Meeting SDK для macOS до версии 5.7.6.1340, Zoom Meeting SDK для Windows до версии 5.7.6.1081, Zoom Video SDK (для Android, iOS, macOS и Windows) до версии 1.1.2, Zoom on-premise Meeting Connector до версии 4.8.12.20211115, Zoom on-premise Meeting Connector MMR до версии 4.8.12.20211115, Zoom on-premise Recording Connector до версии 5.1.0.65.20211116, Zoom on-premise Virtual Room Connector до версии 4.4.7266.20211117, Zoom on-premise Virtual Room Connector Load Balancer до версии 2.5.5692.20211117, Zoom Hybrid Zproxy до версии 1.0.1058.20211116 и Zoom Hybrid MMR до версии 4.6.20211116.131_x86-64, которая потенциально позволяла раскрыть состояние памяти процесса. Эта проблема может быть использована для получения информации о произвольных областях памяти продукта.
CVE-2023-28603Установщик Zoom VDI client до версии 5.14.0 содержит уязвимость неправильного контроля доступа. Злонамеренный пользователь может потенциально удалять локальные файлы без надлежащих разрешений.
CVE-2023-49646Неправильная аутентификация в некоторых клиентах Zoom до версии 5.16.5 может позволить аутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-43588Недостаточное управление потоком управления в некоторых клиентах Zoom может позволить аутентифицированному пользователю раскрыть информацию через сетевой доступ.
CVE-2023-39215Неправильная аутентификация в клиентах Zoom может позволить аутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-39205Неправильная проверка условий в Zoom Team Chat для клиентов Zoom может позволить аутентифицированному пользователю провести отказ в обслуживании через сетевой доступ.
CVE-2023-39199Криптографические проблемы с чатом In-Meeting для некоторых клиентов Zoom могут позволить привилегированному пользователю провести раскрытие информации через сетевой доступ.
CVE-2023-36535Принудительное применение безопасности на стороне клиента вместо сервера в клиентах Zoom до версии 5.14.10 может позволить прошедшему проверку подлинности пользователю раскрыть информацию через сетевой доступ.
CVE-2022-28755Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) до версии 5.11.0 подвержен уязвимости разбора URL-адресов. Если открыт вредоносный URL-адрес собрания Zoom, вредоносная ссылка может направить пользователя к подключению к произвольному сетевому адресу, что приведет к дополнительным атакам, включая возможность удаленного выполнения кода путем запуска исполняемых файлов из произвольных путей.
CVE-2023-39202Ненадежный путь поиска в Zoom Rooms Client для Windows и Zoom VDI Client может позволить привилегированному пользователю провести отказ в обслуживании через локальный доступ.
CVE-2023-39218Принудительное применение безопасности на стороне сервера на стороне клиента в клиентах Zoom до версии 5.14.10 может позволить привилегированному пользователю включить раскрытие информации через сетевой доступ.