CVE-2023-36535

CVSS 7.1 HIGHEPSS 1.0%CWE-449

Em resumo

Clientes Zoom anteriores à versão 5.14.10 possuem uma falha de segurança onde a aplicação confia em verificações do lado do cliente em vez de reforçar regras de segurança no servidor. Um usuário autenticado poderia explorar isso para acessar informações que não deveria conseguir ver, manipulando sua aplicação local.

Detalhe técnico

Vulnerabilidade CWE-449 em clientes Zoom <5.14.10 onde decisões de segurança são executadas no cliente ao invés do servidor. Um atacante autenticado pode contornar restrições do lado do cliente através de manipulação de rede ou modificação da aplicação, resultando em divulgação não autorizada de informações sem necessidade de autenticação adicional.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Client-side enforcement of server-side security in Zoom clients before 5.14.10 may allow an authenticated user to enable information disclosure via network access.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

Produtos afetados

Zoom Video Communications, Inc. · Zoom Clients

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://explore.zoom.us/en/trust/security/security-bulletin/