CVE-2023-39213

CVSS 9.6 CRITICALEPSS 1.3%CWE-176

En resumen

El cliente de Zoom para Windows tiene una falla que permite a un atacante eludir controles de seguridad y obtener mayores privilegios en una computadora sin necesidad de contraseña o cuenta de usuario. Es crítico porque atacantes en la red pueden explotarlo remotamente.

Detalle técnico

CWE-176 (neutralización inadecuada de elementos especiales) en Zoom Desktop Client para Windows y VDI Client anterior a 5.15.2 permite escalada de privilegios no autenticada basada en red. La vulnerabilidad proviene de validación insuficiente de caracteres especiales o elementos manipulados en comunicaciones de red, permitiendo que atacantes desencadenen ejecución de código no intencionada o elevación de privilegios sin autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper neutralization of special elements in Zoom Desktop Client for Windows and Zoom VDI Client before 5.15.2 may allow an unauthenticated user to enable an escalation of privilege via network access.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

Zoom Video Communications, Inc. · Zoom Desktop Client for Windows and Zoom VDI Client

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://explore.zoom.us/en/trust/security/security-bulletin/