Se han detectado varias vulnerabilidades en la plataforma de videoconferencia Zoom; en caso de aprovechar estas vulnerabilidades, un atacante podría realizar acciones perjudiciales contra el sistema.
Detalles de las vulnerabilidades
- CVE-2023-43582 (puntuación CVSS: 5.5):
Se ha identificado una autorización incorrecta en algunos clientes de Zoom, lo que podría permitir a un usuario autorizado realizar una escalada de privilegios a través del acceso a la red.
- CVE-2023-43591 (puntuación CVSS: 7.8):
Se ha identificado una gestión incorrecta de privilegios en Zoom Rooms para macOS, lo que podría permitir a un usuario autenticado realizar una escalada de privilegios a través de acceso local.
- CVE-2023-43590 (puntuación CVSS: 7.8):
El seguimiento de enlaces en Zoom Rooms para macOS antes de la versión 5.16.0 podría permitir a un usuario autenticado realizar una escalada de privilegios a través de acceso local.
- CVE-2023-43588 (puntuación CVSS: 3.5):
La gestión insuficiente de flujo de control en algunos clientes de Zoom podría permitir a un usuario autenticado realizar una divulgación de información a través del acceso a la red.
- CVE-2023-39199 (puntuación CVSS: 4.9):
Problemas criptográficos en el chat durante reuniones para algunos clientes de Zoom podrían permitir a un usuario privilegiado realizar una divulgación de información a través del acceso a la red.
- CVE-2023-39206 (puntuación CVSS: 3.7):
Desbordamiento de búfer en algunos clientes de Zoom podría permitir que un usuario no autenticado realice un ataque de denegación de servicio a través del acceso a la red.
- CVE-2023-39205 (puntuación CVSS: 4.3):
La comprobación inadecuada de condiciones en Zoom Team Chat para los clientes de Zoom podría permitir que un usuario autenticado realice un ataque de denegación de servicio a través del acceso a la red.
- CVE-2023-39204 (puntuación CVSS: 4.3):
Desbordamiento de búfer en algunos clientes de Zoom puede permitir que un usuario no autenticado realice un ataque de denegación de servicio a través del acceso a la red.
- CVE-2023-39203 (puntuación CVSS: 4.3):
El consumo no controlado de recursos en Zoom Team Chat para Zoom Desktop Client para Windows y Zoom VDI Client puede permitir que un usuario no autenticado realice una divulgación de información a través del acceso a la red.
Productos y versiones afectadas
- Zoom Desktop Client para Windows antes de la versión 5.16.0
- Zoom Desktop Client para macOS antes de la versión 5.16.0
- Zoom Mobile App para iOS antes de la versión 5.16.0
- Zoom Mobile App para Android antes de la versión 5.16.0
- Zoom Desktop Client para Linux antes de la versión 5.16.0
- Zoom Rooms Client para Windows antes de la versión 5.16.0
- Zoom Rooms Client para macOS antes de la versión 5.16.0
- Zoom Rooms Client para Android antes de la versión 5.16.0
- Zoom Rooms Client para iPad antes de la versión 5.16.0
- Zoom Rooms para macOS antes de la versión 5.16.0
- Zoom VDI Client antes de la versión 5.16.0 (excluyendo 5.14.13 y 5.15.11)
- Zoom Meeting SDK para Windows antes de la versión 5.16.0
- Zoom Meeting SDK para iOS antes de la versión 5.16.0
- Zoom Meeting SDK para Android antes de la versión 5.16.0
- Zoom Meeting SDK para macOS antes de la versión 5.16.0
- Zoom Meeting SDK para Android antes de la versión 5.16.0
- Zoom Meeting SDK para macOS antes de la versión 5.16.0
- Zoom Meeting SDK para Linux antes de la versión 5.16.0
Recomendación
- Se insta a los usuarios a aplicar las actualizaciones actuales o descargar el software más reciente de Zoom con todas las actualizaciones de seguridad desde el sitio oficial del proveedor.
Referencias