Vulnerabilidad en Zoom Chat en Windows y macOS (CVE-2021-30480)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/04/2021
Última modificación:
21/09/2021
Descripción
Zoom Chat versión hasta el 09-04-2021 en Windows y macOS, permite a determinados atacantes autenticados remotamente ejecutar código arbitrario sin la interacción del usuario. Un atacante debe pertenecer a la misma organización o una parte externa que haya sido aceptada como contacto. NOTA: esto es específico del software Zoom Chat, que es diferente de la funcionalidad de chat del software Zoom Meetings y Zoom Video Webinars
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:zoom:chat:*:*:*:*:*:*:*:* | 2021-04-09 (incluyendo) | |
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/
- https://explore.zoom.us/en/trust/security/security-bulletin/
- https://sector7.computest.nl/post/2021-08-zoom/
- https://twitter.com/thezdi/status/1379855435730149378
- https://twitter.com/thezdi/status/1379859851061395459
- https://www.securityweek.com/200000-awarded-zero-click-zoom-exploit-pwn2own
- https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/
- https://www.zerodayinitiative.com/advisories/ZDI-21-971/
- https://zoom.us/feature/messaging