Se han identificado varias vulnerabilidades en las aplicaciones de Zoom Workplace que podrían permitir la escalada de privilegios o ataques de denegación de servicio.
- CVE-2025-27440 (CVSS 8.5): Esta vulnerabilidad se debe a un desbordamiento de búfer en la gestión de la memoria en ciertas versiones de Zoom Workplace Apps. Un atacante autenticado con acceso a la red podría aprovechar este error para sobrescribir áreas críticas de la memoria, lo que le permitiría escalar privilegios y ejecutar acciones maliciosas con permisos más altos, comprometiendo así la seguridad del sistema.
- CVE-2025-27439 (CVSS 8.5): Un subdesbordamiento de búfer en algunas Zoom Workplace Apps podría permitir que un usuario autenticado realice una escalada de privilegios mediante acceso a la red.
- CVE-2025-0151 (CVSS 8.5): Una vulnerabilidad de «use after free» en algunas Zoom Workplace Apps podría permitir que un usuario autenticado realice una escalada de privilegios mediante acceso a la red.
- CVE-2025-0150 (CVSS 7.1): Un comportamiento incorrecto en el orden de ejecución en algunas Zoom Workplace Apps para iOS, podría permitir que un usuario autenticado realice un ataque de denegación de servicio mediante acceso a la red.
- CVE-2025-0149 (CVSS 6.5): La verificación insuficiente de la autenticidad de los datos en algunas aplicaciones de Zoom Workplace podría permitir que un usuario sin privilegios lleve a cabo un ataque de denegación de servicio mediante acceso a la red.
Productos, versiones afectadas y solución
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2025-27440 CVE-2025-27439 CVE-2025-0151 CVE-2025-0149 | Zoom Workplace Desktop App para Windows, macOS, Linux | Versiones previas a la 6.3.0 | Actualizar a la versión 6.3.0 o posterior. |
| Zoom Workplace App para iOS, Android | |||
| Zoom Rooms Controller para Windows, macOS, Linux, Android | |||
| Zoom Rooms Client para Windows, macOS, Android, iPad | |||
| Zoom Meeting SDK para Windows, iOS, Android, macOS, Linux | |||
| Zoom Workplace VDI Client para Windows. | Versiones previas a la 6.2.12 (excepto la 6.1.16) | Actualizar a la versión 6.2.12 o posterior. | |
| CVE-2025-0150 | Zoom Workplace App para iOS | Versiones previas a la 6.3.0 | Actualizar a la versión 6.3.0 o posterior. |
| Zoom Meeting SDK para iOS |
Recomendaciones:
- Aplicar las actualizaciones de seguridad proporcionadas por Zoom para mitigar las vulnerabilidades.
- Revisar y reforzar las configuraciones de seguridad en los dispositivos donde se ejecutan las aplicaciones afectadas.
- Supervisar los sistemas en busca de actividad sospechosa que pueda estar relacionada con intentos de explotación.
Referencias: