2025年8月13日Ravie Lakshmanan脆弱性 / ソフトウェアセキュリティ
ZoomとXeroxは、Windows用ZoomクライアントおよびFreeFlow Coreに存在する、権限昇格やリモートコード実行を可能にする重大なセキュリティ脆弱性に対処しました。
Windows用Zoomクライアントに影響を与える脆弱性は、CVE-2025-49457(CVSSスコア:9.6)として追跡されており、信頼されていない検索パスの問題に関連しており、権限昇格を引き起こす可能性があります。
「Windows用の特定のZoomクライアントにおける信頼されていない検索パスにより、認証されていないユーザーがネットワークアクセスを介して権限昇格を行うことが可能になる場合があります」とZoomは火曜日にセキュリティ速報で述べています。
この問題は、同社のOffensive Securityチームによって報告され、以下の製品に影響します。
- バージョン6.3.10未満のWindows用Zoom Workplace
- バージョン6.3.10未満のWindows用Zoom Workplace VDI(6.1.16および6.2.12を除く)
- バージョン6.3.10未満のWindows用Zoom Rooms
- バージョン6.3.10未満のWindows用Zoom Rooms Controller
- バージョン6.3.10未満のWindows用Zoom Meeting SDK
この公開は、Xerox FreeFlow Coreで複数の脆弱性が公開されたことを受けてのものであり、その中で最も深刻なものはリモートコード実行につながる可能性があります。これらの問題はバージョン8.0.4で修正されており、以下が含まれます。
- CVE-2025-8355(CVSSスコア:7.5)- サーバーサイドリクエストフォージェリ(SSRF)につながるXML外部エンティティ(XXE)インジェクションの脆弱性
- CVE-2025-8356(CVSSスコア:9.8)- リモートコード実行につながるパストラバーサルの脆弱性
「これらの脆弱性は悪用が容易であり、もし悪用された場合、攻撃者は影響を受けるシステム上で任意のコマンドを実行したり、機密データを盗み出したり、企業環境内で横移動を試みて攻撃を拡大することが可能になります」とHorizon3.aiは述べています。
翻訳元: https://thehackernews.com/2025/08/zoom-and-xerox-release-critical.html