Vulnerabilidades críticas en Zoom y Xerox 2025
Vulnerabilidad 14 de agosto
Introducción
CVE-2025-49457 es un problema crítico de escalada de privilegios en clientes de Zoom para Windows. Se debe a una ruta de búsqueda no confiable que permite a un atacante no autenticado ejecutar código con privilegios elevados al acceder a recursos de red.
Análisis
CVE-2025-49457 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6
La vulnerabilidad CVE‑2025‑49457 se debe a una ruta de búsqueda no confiable en clientes de Zoom para Windows. Esto permite que DLLs maliciosas sean cargadas desde ubicaciones inseguras antes que las legítimas en un directorio accesible por el usuario. Al abrir Zoom, el sistema carga la DLL maliciosa, ejecutando código arbitrario con privilegios del cliente, por lo que puede usarse para instalar malware, robar datos o comprometer el sistema.
Versiones afectadas
- Zoom Workplace para Windows: Antes de la versión 6.3.10
- Zoom Workplace VDI para Windows: Antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12)
- Zoom Rooms para Windows: Antes de la versión 6.3.10
- Zoom Rooms Controller para Windows: Antes de la versión 6.3.10
- Zoom Meeting SDK para Windows: Antes de la versión 6.3.10
Recomendaciones
- Actualizar a la versión 6.3.10 o superior de los clientes afectados
- Descargar actualizaciones desde el Centro de Descargas de Zoom
Workarounds
No hay workarounds para esta vulnerabilidad.