Aug 13, 2025Ravie Lakshmananvulnerabilidad / Software Security Zoom y Xerox han abordado fallas críticas de seguridad en los clientes de Zoom para Windows y FreeFlow Core que podrían permitir la escalada de privilegios y la ejecución de código remoto. La vulnerabilidad que afecta a los clientes de Zoom para Windows, rastreados como CVE-2025-49457 (puntaje CVSS: 9.6), se relaciona con un caso de una ruta de búsqueda no confiable que podría allanar el camino para una escalada privilegiada. «La ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red», dijo Zoom en un boletín de seguridad el martes. El problema, informado por su propio equipo de seguridad ofensivo, afecta los siguientes productos: Zoom Workplace para Windows antes de la versión 6.3.10 Zoom Workplace VDI para Windows antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12) Las habitaciones de zoom para Windows antes de la versión 6.3.10 Zoom Rooms Controller para Windows antes de la versión 6.3.10 Zoom se reunen con SDK para Windows antes de la versión 6.3.10 La revelación de múltiples vulnerabilidades se ha descrito vulnerabilidades vulnerneracidades se ha descrito a vulnerabilidades. el más severo de los cuales podría dar lugar a la ejecución de código remoto. Los problemas, que se han abordado en la versión 8.0.4, incluyen-CVE-2025-8355 (puntaje CVSS: 7.5)-Vulnerabilidad de inyección de entidad externa XML (xxe) que conduce a falsificaciones de solicitudes del lado del servidor (SSRF) CVE-2025-8356 (puntuación CVSS: 9.8)-Vulnerabilidad de Código Remoto Vulnerabilidades a vulnerabilidades remotas a vulnerabilidades de Código Remoto «Vulnerabilidades de vulnerabilidades de vulnerabilidades Remotas son vulnerabilidades de vulnerabilidades remotas». Explotación y si es explotada, podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado, robe datos confidenciales o intente moverse lateralmente a un entorno corporativo determinado para continuar su ataque «, dijo Horizon3.ai.