Se ha identificado una vulnerabilidad crítica de inyección de comandos en los Node Multimedia Routers (MMRs) de Zoom, que podría permitir a participantes en reuniones ejecutar código arbitrario en los sistemas afectados. La falla, registrada como CVE-2026-22844, presenta una puntuación CVSS 9.9, indicando un riesgo extremadamente grave con posible impacto en la confidencialidad, integridad y disponibilidad. Esta vulnerabilidad es explotable mediante acceso por red y privilegios bajos, sin necesidad de interacción adicional del usuario.
CVE y severidad
| CVE | CVSS 3.1 | Severidad | Vector de ataque | Tipo de falla |
|---|---|---|---|---|
| CVE-2026-22844 | 9.9 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) | Crítica | Red | Inyección de comandos |
Productos afectados
| Fabricante | Producto | Componentes afectados | Versiones afectadas |
|---|---|---|---|
| Zoom | Node Multimedia Routers (MMRs) | Node Meetings Hybrid (ZMH) y Meeting Connector (MC) | Versiones anteriores a 5.2.1716.0 |
Solución
Actualizar los módulos MMR afectados a la versión 5.2.1716.0 o superior.
Recomendaciones
Es fundamental priorizar la actualización inmediata de las instalaciones con Zoom Node Meetings Hybrid o Meeting Connector para mitigar riesgos. Posterior a la actualización, verificar la correcta aplicación del parche y mantener controles de acceso a la red para minimizar vectores de ataque.