Zoomは、Node Multimedia Routers(MMR)に影響する重大なリモートコード実行(RCE)脆弱性を開示しました。最大CVSS深刻度スコアは9.9です。
CVE-2026-22844として追跡されているこの欠陥は、MMRコンポーネントにおけるコマンドインジェクション脆弱性を悪用するもので、Zoom Node HybridまたはMeeting Connectorのデプロイを運用している組織にとって差し迫った脅威となります。
この脆弱性は、5.2.1716.0より前のバージョンのZoom Node Multimedia Routersに存在します。攻撃者はコマンドインジェクションの欠陥を悪用し、ネットワークアクセスがある影響を受けるMMRシステム上で任意のコードをリモートから実行できます。
特に、この脆弱性は低い権限でユーザー操作も不要なため、本番環境で非常に悪用されやすいものとなっています。
「Changed Scope(スコープ変更)」の指定は、悪用が成功した場合に脆弱なコンポーネント自体を超えて影響が及び、Zoom Nodeインフラ全体および接続されたシステムが侵害される可能性があることを示しています。
以下のZoomデプロイを運用している組織は脆弱です:
これらのデプロイモデルを採用している組織は、更新が適用されていない限り、露出しているものと見なすべきです。
有効な認証情報を持つ会議参加者が、この脆弱性を悪用してMMRに悪意のあるコマンドを注入する可能性があります。
攻撃ベクターの複雑性が低く、必要な権限も最小限であるため、攻撃者は管理者アクセスや高度な手法を必要としません。
いったんコード実行が達成されると、攻撃者はルーターを完全に制御できるようになり、組織のネットワーク内でのラテラルムーブメントが可能になります。
高いCVSSスコア、ネットワーク経由での悪用可能性、参入障壁の低さを踏まえると、この脆弱性は企業にとって重大なリスクをもたらします。
悪用により、会議インフラへの不正アクセス、データ流出、または事業継続に影響するサービス拒否攻撃が発生する可能性があります。
Zoom Nodeのデプロイを運用している組織は、この重大なRCE脅威を軽減するため、即時のパッチ適用を最優先に行う必要があります。
攻撃の複雑性が低く影響が大きいという組み合わせにより、敵対的な環境でシステムが未パッチのままであれば、悪用はほぼ確実となります。
Zoom管理者は、影響を受けるすべてのインフラに対して、遅滞なくバージョン5.2.1716.0を展開すべきです。
翻訳元: https://cyberpress.org/critical-zoom-command-injection-vulnerability/