CVE-2023-39213

CVSS 9.6 CRITICALEPSS 1.3%CWE-176

Em resumo

O cliente do Zoom para Windows possui uma falha que permite a um invasor contornar controles de segurança e ganhar privilégios maiores no computador sem precisar de senha ou conta de usuário. É crítico porque atacantes na rede podem explorar remotamente.

Detalhe técnico

A CWE-176 (neutralização inadequada de elementos especiais) no Zoom Desktop Client para Windows e VDI Client anterior à versão 5.15.2 permite escalação de privilégios não autenticada baseada em rede. A vulnerabilidade decorre da validação insuficiente de caracteres especiais ou elementos manipulados em comunicações de rede, possibilitando que invasores disparem execução de código não intencional ou elevação de privilégios sem autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper neutralization of special elements in Zoom Desktop Client for Windows and Zoom VDI Client before 5.15.2 may allow an unauthenticated user to enable an escalation of privilege via network access.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Produtos afetados

Zoom Video Communications, Inc. · Zoom Desktop Client for Windows and Zoom VDI Client

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://explore.zoom.us/en/trust/security/security-bulletin/