Zoom ha emitido varios boletines de seguridad con parches para vulnerabilidades en sus aplicaciones Workplace, destacando tres fallos de alta severidad y varios de severidad media. Estas vulnerabilidades afectan aplicaciones para Android, Windows, macOS y clientes VDI, permitiendo desde eludir controles de acceso hasta la manipulación de archivos y posibles denegaciones de servicio, incrementando el riesgo de accesos no autorizados y perturbaciones en entornos laborales híbridos.
CVE y severidad
| CVE | Severidad | Componente afectado | Descripción resumida |
|---|---|---|---|
| CVE-2025-62484 | Alta | Zoom Workplace Clients | La complejidad ineficiente de las expresiones regulares puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red. |
| CVE-2025-64741 | Alta | Zoom Workplace para Android | Flaw en manejo de autorizaciones que permite saltar controles y realizar acciones sin permiso, como unirse a reuniones o acceder a datos sensibles. |
| CVE-2025-64740 | Alta | Zoom Workplace VDI Client para Windows | Verificación incorrecta de firmas criptográficas que abre la posibilidad a actualizaciones manipuladas e interceptación de comunicaciones. |
| CVE-2025-62483 | Media | Zoom Workplace para Windows, Linux, macOS, VDI Client | La eliminación inadecuada de información confidencial puede permitir que un usuario no autenticado realice una divulgación de información a través del acceso a la red. |
| CVE-2025-62482 | Media | Zoom Workplace Apps para Windows | La presencia de secuencias de comandos entre sitios (XSS) en Zoom Workplace para Windows puede permitir que un usuario no autenticado afecte la integridad a través del acceso a la red. |
| CVE-2025-30662 | Media | Zoom Workplace VDI Plugin macOS Universal | Los enlaces simbólicos que aparecen en el instalador del complemento Zoom Workplace VDI macOS Universal antes de las versiones 6.3.14, 6.4.14 y 6.5.10 en sus respectivas rutas pueden permitir que un usuario autenticado realice una divulgación de información a través del acceso a la red. |
| CVE-2025-30669 | Media | Zoom Workplace para Windows, Linux, VDI Client | Una validación incorrecta de los certificados en ciertos clientes de Zoom puede permitir que un usuario no autenticado divulgue información a través de un acceso adyacente. |
| CVE-2025-64739 | Media | Varios clientes Zoom | Control externo no validado del nombre o ruta de archivo, que puede redirigir operaciones de archivo a ubicaciones no deseadas. |
| CVE-2025-64738 | Media | Zoom Workplace para macOS | Manipulación de rutas mediante entradas maliciosas que permiten traversar directorios y sobrescribir archivos críticos. |
| CVE-2025-30670 | Media | Zoom Workplace Apps para Windows | Conditions de Null Pointer Dereference que pueden provocar fallos o denegación de servicio. |
| CVE-2025-30671 | Media | Zoom Workplace Apps para Windows | Conditions de Null Pointer Dereference que pueden provocar fallos o denegación de servicio. |
Productos afectados
| Fabricante | Producto | Versión afectada | Plataforma/Sistema Operativo |
|---|---|---|---|
| Zoom Video Communications | Zoom Workplace para Android e iOS | Versiones anteriores a la versión 6.5.10 | Android, iOS |
| Zoom Video Communications | Zoom Workplace VDI Client | Versiones anteriores a las versiones 6.3.14, 6.4.12 y 6.5.10 en sus respectivas rutas. | Windows |
| Zoom Video Communications | Zoom Workplace para Linux | Versiones anteriores a la versión 6.5.10 | Múltiples plataformas (Windows, macOS, otros) |
| Zoom Video Communications | Zoom Workplace para macOS | Versiones anteriores a la versión 6.5.10 | macOS |
| Zoom Video Communications | Zoom Workplace Apps para Windows | Versiones anteriores a la versión 6.5.10 | Windows |
Solución
Actualizar a las versiones más recientes disponibles para Zoom Workplace en Android, Windows, macOS y clientes VDI.
Recomendaciones
Priorizar la instalación inmediata de parches en todos los sistemas afectados, reforzar la autenticación multifactor y monitorear comportamientos anómalos en las aplicaciones para mitigar posibles ataques. Windows: validar la estabilidad post-update para evitar interrupciones. Android y macOS: asegurarse de contar con las últimas versiones oficiales.
Referencias
- https://cybersecuritynews.com/zoom-security-vulnerabilities/
- https://www.zoom.com/en/trust/security-bulletin/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25048/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25047/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25046/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25045/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25044/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25043/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25042/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25041/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25040/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25015/