El 10 de marzo de 2026, Zoom publicó cuatro boletines de seguridad que revelan múltiples vulnerabilidades en su suite cliente para Windows. Estas fallas, evaluadas desde alta hasta crítica severidad, permiten a atacantes escalar privilegios en sistemas afectados, destacando un fallo crítico explotable remotamente sin autenticación previa en la función de correo de Zoom Workplace para Windows.
CVE y severidad
| CVE | Boletín | Producto | Tipo de Vulnerabilidad | Severidad | Fecha de publicación |
|---|---|---|---|---|---|
| CVE-2026-30903 | ZSB-26005 | Zoom Workplace para Windows | Control externo de nombre o ruta de archivo | Crítica | 10/03/2026 |
| CVE-2026-30902 | ZSB-26004 | Zoom Clients para Windows | Mala gestión de privilegios | Alta | 10/03/2026 |
| CVE-2026-30901 | ZSB-26003 | Zoom Rooms para Windows | Validación incorrecta de entradas | Alta | 10/03/2026 |
| CVE-2026-30900 | ZSB-26002 | Zoom Workplace Clients para Windows | Verificación incorrecta | Alta | 10/03/2026 |
Productos afectados
| Producto | Componentes afectados | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Zoom Workplace para Windows | Función Mail, cliente general | Versiones anteriores a la 6.6.0 | Windows |
| Zoom Clients para Windows | Cliente Zoom general | No especificado (previas al parche) | Windows |
| Zoom Rooms para Windows | Sala virtual Zoom Rooms | No especificado (previas al parche) | Windows |
Solución
Actualizar a la versión 6.6.0 o superior en Zoom Workplace para Windows y a la última versión disponible en Zoom Rooms y Zoom Clients para Windows.
Recomendaciones
Priorizar aplicar los parches en todos los endpoints con Zoom Workplace y realizar auditorías de configuración de privilegios para limitar riesgos; además, monitorear tráfico de red en busca de patrones anómalos relacionados con intentos de explotación.