Vulnerabilidad en RingCentral (CVE-2019-13450)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/07/2019
Última modificación:
07/11/2023
Descripción
En el Cliente Zoom hasta versión 4.4.4 y RingCentral versión 7.0.136380.0312 en macOS, los atacantes remotos pueden forzar a un usuario a unirse a una llamada de video con la cámara de video activa. Esto ocurre porque cualquier sitio web puede interactuar con el servidor web de Zoom en el puerto host local 19421 o 19424. NOTA: una máquina permanece vulnerable si el cliente Zoom fue instalado en el pasado y luego se desinstaló. El bloqueo de la operación requiere pasos adicionales, tales como la preferencia ZDisableVideo y/o la eliminación del servidor web, suprimiendo el directorio ~/.zoomus y creando un archivo plano ~/.zoomus.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ringcentral:ringcentral:7.0.136380.0312:*:*:*:*:mac_os_x:*:* | ||
| cpe:2.3:a:zoom:zoom:*:*:*:*:*:mac_os_x:*:* | 4.4.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/109082
- https://assets.zoom.us/docs/pdf/Zoom+Response+Video-On+Vulnerability.pdf
- https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/
- https://bugs.chromium.org/p/chromium/issues/detail?id=951540
- https://medium.com/%40jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
- https://news.ycombinator.com/item?id=20387298
- https://twitter.com/moreati/status/1148548799813640193
- https://twitter.com/zoom_us/status/1148710712241295361