Zoom y Xerox han abordado fallas de seguridad críticas en los clientes de Zoom para Windows y FreeFlow Core que podrían permitir la escalada de privilegios y la ejecución de código remoto.
La vulnerabilidad que impacta a los clientes de Zoom para Windows, rastreados como CVE-2025-49457 (Puntuación CVSS: 9.6), se relaciona con un caso de una ruta de búsqueda no confiable que podría allanar el camino para la escalada de privilegios.
«La ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red», dijo Zoom en un boletín de seguridad el martes.
El problema, informado por su propio equipo de seguridad ofensivo, afecta los siguientes productos –
- Lugar de trabajo de Zoom para Windows antes de la versión 6.3.10
- Zoom Workplace VDI para Windows antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12)
- Zoom habitaciones para ventanas antes de la versión 6.3.10
- Controlador Zoom Rooms para Windows antes de la versión 6.3.10
- Zoom Meeting SDK para Windows antes de la versión 6.3.10
La divulgación se produce cuando se han revelado múltiples vulnerabilidades en el núcleo de FreeFlow de Xerox, el más severo de los cuales podría dar lugar a la ejecución de código remoto. Los problemas, que se han abordado en la versión 8.0.4, incluyen –
- CVE-2025-8355 (Puntuación CVSS: 7.5) – Vulnerabilidad de inyección de entidad externa XML (xxe) que conduce a falsificación de solicitud del lado del servidor (SSRF)
- CVE-2025-8356 (Puntuación CVSS: 9.8) – Vulnerabilidad transversal de ruta que conduce a la ejecución del código remoto
«Estas vulnerabilidades son rudimentarias para explotar y, si se explotan, podrían permitir que un atacante ejecute comandos arbitrarios en el sistema afectado, robe datos confidenciales o intente moverse lateralmente a un entorno corporativo determinado para promover su ataque», dijo Horizon3.ai.