Zoom, la plataforma líder en videoconferencia, ofrece una amplia gama de servicios en la nube, adecuados para usuarios individuales y grandes empresas, que van desde la comunicación por voz hasta salas de reuniones virtuales.
El equipo de seguridad ofensiva de Zoom recientemente ha descubierto vulnerabilidades clasificadas como de ALTA y MEDIA severidad, con calificaciones que oscilan entre 6.5 y 7.2 en la escala base CVSS.
CVE-2023-39208 (CVSS 6.5): Validación de entrada inadecuada puede ser aprovechada por usuarios no autenticados para realizar ataques de tipo “Distributed Denial of Service” (DdoS) en la red.
CVE-2023-39215 (CVSS 7.1): Autenticación inadecuada en los clientes de Zoom posibilita que usuarios no identificados lleven a cabo ataques DDoS a través de la red.
CVE-2023-39201 (CVSS 7.2): Ruta de búsqueda ambigua en Clean Zoom, antes de julio del 2023, permite a usuario privilegiados realizar una “Privilege Escalation” a través del acceso local.
Producto y Versiones afectadas
| CVE | Versión | Producto Afectado |
| CVE-2023-39208 | Versiones anteriores a las 5.15.10 | Zoom Desktop Client (Linux) |
| CVE-2023-39215 | Versiones anteriores a las 5.15.10 | Zoom Desktop Client (Windows, MacOS y Linux), Zoom Mobile App (Android y IOS) y Zoom Meeting SDK’s |
| CVE-2023-39215 | Versiones anteriores a las 5.14.12 y 5.15.4 | Zoom VDI Client |
| CVE-2023-39201 | Versiones de archivos previos al 07/24/2023 | CleanZoom |
Solución
Actualizar el cliente Zoom a sus últimas versiones disponibles:
- Zoom Desktop Client (Linux) Versión 5.15.10
- Zoom Desktop Client (Windows, masOS y Linux), Zoom Mobile App (Android y IOS) y Zoom Meeting SDK’s Versión 5.15.10
- Zoom VDI Client Versión 5.14.12 y 5.15.4
- CleanZoom Versiones de archivos en la fecha actual o más reciente.
Recomendación
- Los usuarios pueden ayudar a mantenerse seguros verificando si existen actualizaciones disponibles, o realizando la actualización e instalación manual en https://zoom.us/download.
Referencias
- https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=CVE-2023-39208
- https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=CVE-2023-39215