• DNSC a emis joi o alertă de vulnerabilitate critică în Zoom, care permite oricărui participant la o întâlnire, care are acces la rețeaua în care se află dispozitivul Zoom Node MMR vulnerabil, să execute comenzi arbitrare pe acesta, fără a necesita privilegii administrative sau interacțiune suplimentară.
Potrivit unei informări publice a DNSC, CVE‑2026‑22844 este o vulnerabilitate de tip „OS Command Injection”, cu un scor CVSS v3.1 de 9.9 (Critic), identificată în modulele Zoom Node Multimedia Routers (MMR).
Această vulnerabilitate permite oricărui participant la o întâlnire, care are acces la rețeaua în care se află dispozitivul Zoom Node MMR vulnerabil, să execute comenzi arbitrare pe acesta, fără a necesita privilegii administrative sau interacțiune suplimentară.
Cum se manifestă vulnerabilitatea
Vulnerabilitatea sesizată de către DNSC este cauzată de procesarea necorespunzătoare a datelor primite de MMR atunci când gestionează fluxurile audio/video ale întâlnirilor. Un potențial atacator care are acces la rețeaua în care se află dispozitivul poate trimite date malițioase care determină MMR-ul să execute comenzi nedorite pe sistem.
Aceasta poate duce la preluarea completă a dispozitivului, afectarea fluxurilor de comunicare audio și video, întreruperea întâlnirilor și accesul neautorizat la date sensibile transmise prin aceste sesiuni. Practic, un astfel de atac poate compromite atât integritatea dispozitivului, cât și confidențialitatea și disponibilitatea informațiilor gestionate de acesta, fără ca utilizatorii obișnuiți să fie conștienți de atac.
Produse și versiuni afectate
Produse afectate:
Zoom Node Multimedia Routers (MMR) folosite în:
Zoom Node Meetings Hybrid (ZMH)
Zoom Node Meeting Connector (MC)
Versiuni vulnerabile: Toate versiunile MMR anterioare 5.2.1716.0 sunt afectate de această vulnerabilitate.
Ce recomandă DNSC
Actualizați imediat dispozitivele afectate la versiunea 2.1716.0, sau o versiune mai recentă.
În cazul în care actualizarea nu este posibilă, izolați nodurile MMR într-o subrețea separată de restul resurselor.
Gestionați administrarea adreselor IP, precum și a utilizatorilor, pe baza unui whitelist.
Evitați, pe cât posibil, diseminarea link-urilor întâlnirilor, pe canale publice.
DNSC: Actualizările aplicației sunt importante
CVE‑2026‑22844 reprezintă o vulnerabilitate critică de tip Command Injection în modulele MMR. Impactul este major, cu posibilitatea de execuție de cod la distanță fără autentificare prealabilă, ceea ce poate compromite dispozitivele de comunicații și fluxurile de date audio/video. Având un scor CVSS de 9.9, această vulnerabilitate necesită aplicarea rapidă a patch‑urilor și actualizărilor recomandate de Zoom pentru a proteja infrastructura și utilizatorii.
Pentru mai multe detalii, modificările aduse de patch-ul oficial pot fi consultate pe site-ul companiei.
- Facebook.com/actualitateaprahoveana.ro
- instagram.com
- twitter.com
- Google Business
- Youtube Actualitatea
- Spotify PODCAST
- TikTok Actualitatea Prahoveană
