[TLP:CLEAR] Zoom opravuje 3 zranitelnosti
Zoom opravuje 3 zranitelnosti ve svých produktech [1][2]. Produkty a jejich opravené verze: Zoom Workplace Mobile Clients - 7.0.4 (Android), 7.0.3 (iOS) [1] Remote Control for Zoom Contact Center (Windows) - 7.0.0 [2]
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné autorizaci ve zpracování vlastního URL schématu (Custom URL Scheme) v Zoom Workplace umožněno zvýšit svá oprávnění [1].
Zranitelnost se nachází v produktech:
- Zoom Workplace (Android) ve verzích <7.0.4
- Zoom Workplace (iOS) ve verzích <7.0.3
- Zoom Meeting SDK (Android) ve verzích <7.0.4
- Zoom Workplace SDK (iOS) ve verzích <7.0.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-53407 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-53408 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli nedostatečnému ověřování autenticity dat ve funkci vzdáleného ovládání v aplikaci Zoom Contact Center pro Windows umožněno zvýšit svá oprávnění [2].
Zranitelnost se nachází v produktu Zoom Contact Center(Windows) ve verzích <7.0.0.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-53406 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-345: Insufficient Verification of Data Authenticity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 15. 6. 2026.
