Vulnerabilidad crítica en clientes de Zoom para Windows
Zoom ha publicado actualizaciones de seguridad que abordan dos vulnerabilidades importantes en sus clientes basados en Windows, CVE-2025-49456 y CVE-2025-49457. Esta última siendo la más crítica.
La primera falla, CVE-2025-49456 (CVSS 6.2), es una condición de carrera en el instalador de ciertos clientes de Zoom para Windows. Un atacante local podría potencialmente manipular el proceso de instalación para alterar o reemplazar archivos de la aplicación antes de que estén protegidos adecuadamente, lo que podría permitir la ejecución de código malicioso.
La segunda y más grave, CVE-2025-49457 (CVSS 9.6), es una vulnerabilidad de ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows. Zoom advierte que podría permitir que un usuario no autenticado realice una escalada de privilegios mediante el acceso a la red .
Al colocar un archivo malicioso en una ubicación buscada antes de la ruta del archivo legítimo, un atacante (posiblemente a través de un recurso compartido de red) podría engañar a la aplicación para que ejecute código malicioso con privilegios elevados.
Las vulnerabilidades afectan a:
- Zoom Workplace para Windows, versiones anteriores a 6.3.10;
- Zoom Workplace VDI para Windows, versiones anteriores a 6.3.10 (excepto 6.1.16 y 6.2.12);
- Zoom Rooms para Windows, versiones anteriores a 6.3.10;
- Zoom Rooms Controller para Windows, versiones anteriores a 6.3.10;
- Zoom Meeting SDK para Windows, versiones anteriores a 6.3.10.
