エンタープライズソフトウェアプロバイダーのIvantiとZoomは火曜日、自社製品に存在する複数の脆弱性に対するパッチを発表しました。これには、任意のファイル書き込みやコード実行につながる重大な問題も含まれています。
Ivantiは、Ivanti Endpoint Manager(EMP)に存在する3つのバグの修正を発表しました。これらは、認証されていない攻撃者によるリモートコード実行や、ローカル攻撃者による権限昇格に悪用される可能性があります。
これらの脆弱性のうち2つ(CVE-2025-9713およびCVE-2025-11622)は、Trend MicroのZero Day Initiative(ZDI)が10月に公開したもので、未修正のEMPの脆弱性13件の一部でした。
これら2つの既知のバグは、パストラバーサルと安全でないデシリアライズの問題と説明されています。3つ目のCVE-2025-10918は、安全でないデフォルト権限の脆弱性です。
Ivantiによると、2024 SU4より前のすべてのEMPバージョンがこれらの脆弱性の影響を受けます。ユーザーはできるだけ早くEMPの導入環境をアップデートするよう推奨されています。
「これらの脆弱性が開示された時点で、被害を受けた顧客は確認されていません」とIvantiはアドバイザリで述べています。
火曜日、Zoomは、モバイルおよびデスクトップクライアントにおける3件の重大度が高いバグと6件の中程度のバグについて、9件のアドバイザリを公開しました。
重大度が高い脆弱性(CVE-2025-62484、CVE-2025-64741、CVE-2025-64740)は、権限昇格につながる可能性があります。最初の2つはZoomのiOSおよびAndroidアプリケーションに影響し、3つ目はZoom Workplace VDI Client for Windowsで特定されました。
新たに解決された中程度の脆弱性5件は、情報漏洩につながる可能性があります。これらはZoomのLinux、macOS、Windows用デスクトップアプリケーションに影響します。
6件目は、Zoom WorkplaceおよびMeeting SDK for WindowsにおけるXSSの欠陥で、認証なしで悪用可能であり、アプリケーションの整合性に影響します。
Zoomは、これらの脆弱性が実際に悪用されたという言及はしていません。
翻訳元: https://www.securityweek.com/high-severity-vulnerabilities-patched-by-ivanti-and-zoom/
