Zoom Node Multimedia Routers(MMR)における重大なコマンドインジェクション脆弱性が公開され、会議参加者が脆弱なシステム上で任意のコードを実行できる可能性があります。
この欠陥はZoom Node Meetings HybridおよびMeeting Connectorの導入に影響し、企業環境全体での即時パッチ適用が必要です。
脆弱性の概要
Zoom Offensive Securityは、Zoom Node MMRの導入におけるコマンドインジェクションの欠陥を特定しました。これにより、ネットワークアクセスを通じてリモートコード実行(RCE)が可能になります。
この脆弱性のCVSS v3.1スコアは9.9で、攻撃の障壁が最小限である一方、悪用可能性が極めて高いことを示しています。
攻撃の複雑性が低く、ネットワーク経由で攻撃可能なベクトルであることから、この脆弱性はZoomインフラに対して公開された脅威の中でも最も重大な部類に入ります。
| パラメータ | 値 |
|---|---|
| CVE ID | CVE-2026-22844 |
| CVSSスコア | 9.9(重大) |
| CVSSベクター | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| 攻撃ベクトル | ネットワーク |
このコマンドインジェクション脆弱性は、以下のZoom Node導入形態に影響します:
- Zoom Node Meetings Hybrid(ZMH) – MMRモジュールのバージョン5.2.1716.0未満
- Zoom Node Meeting Connector(MC) – MMRモジュールのバージョン5.2.1716.0未満
これらのバージョンを運用している組織は、認証済みの会議参加者による不正なコード実行の即時リスクに直面します。
Zoomは、影響を受けるすべての導入環境に対して直ちに対応することを推奨しています。管理者は、脆弱性を解消するためにMMRモジュールをバージョン5.2.1716.0以降へ更新することを最優先すべきです。
組織は、Zoom Nodeの更新管理に関するZoom公式サポートドキュメントを参照することでパッチ適用を開始できます。同ドキュメントには、サービス停止を伴わずにハイブリッドおよびコネクター導入環境全体へ安全に更新を展開するための手順が段階的に示されています。
このコマンドインジェクション脆弱性は、企業のコミュニケーション基盤に重大なリスクをもたらします。
機密性・完全性・可用性の各観点で攻撃の影響が大きく、悪用に成功した場合、データ流出、会議の改ざん、または重要な業務コミュニケーションに影響するサービス拒否につながる可能性があります。
セキュリティチームはこれを最重要のパッチ適用案件として分類し、影響を受けるすべてのZoom Node環境で直ちに更新を実施すべきです。
翻訳元: https://gbhackers.com/critical-zoom-vulnerability-enables-remote-code-execution/
