Múltiples Vulnerabilidades de Alta Severidad en Plataformas Zoom
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) informa sobre la corrección de múltiples vulnerabilidades de alta severidad que afectan a los clientes y SDKs de Zoom Workplace.
Estas fallas, con puntuaciones CVSS de hasta 8.1, pueden ser explotadas por actores maliciosos para:
- Escalar Privilegios a través de la red sin autenticación (CVE-2025-62484).
- Eludir Controles de Acceso en dispositivos Android y unirse a reuniones sin permiso (CVE-2025-64741).
- Manipular Instaladores VDI para lograr una escalada de privilegios local (CVE-2025-64740).
Se insta a todos los usuarios a actualizar de inmediato sus aplicaciones Zoom.
Vulnerabilidades de Mayor Severidad Identificadas
Las fallas comprometen tanto las aplicaciones móviles como los clientes VDI de escritorio.
| Identificador CVE | Puntuación CVSS v3.1 | Plataforma Afectada | Impacto Potencial |
| CVE-2025-62484 | 8.1 (ALTA) | Clientes Zoom Workplace | Escalada de Privilegios por acceso a la red, debido a expresión regular compleja insuficiente. |
| CVE-2025-64741 | 8.1 (ALTA) | Zoom Workplace para Android | Escalada de Privilegios y Evasión de Controles de Acceso, permitiendo unirse a reuniones o acceder a datos sensibles. |
| CVE-2025-64740 | 7.5 (ALTA) | VDI Client para Windows | Escalada de Privilegios Local debido a la verificación inadecuada de firmas en el instalador, permitiendo actualizaciones manipuladas. |
Productos Afectados y Mitigación
| Producto Afectado | Versiones Vulnerables (Anteriores a) | Recomendación URGENTE |
| Zoom Workplace / SDK (iOS y Android) | $< 6.5.10$ | Actualizar a la versión 6.5.10 o superior. |
| Zoom Workplace VDI Client (Windows) | $< 6.3.14 / < 6.4.12 / < 6.5.10$ | Actualizar a la última versión disponible en la rama de su client. |
Recomendación de Seguridad del CSIRT-UC
- Actualización Inmediata: Los usuarios de dispositivos móviles y tablets deben actualizar la aplicación Zoom a través de Google Play Store o Apple App Store. Los usuarios de VDI deben seguir las instrucciones de actualización del fabricante o de su departamento de TI.
- Revisión del SDK: Los desarrolladores que utilicen los SDKs de Zoom deben actualizar a la versión 6.5.10 o posterior para mitigar el riesgo en sus propias aplicaciones.
Referencias Oficiales
- Boletines de Seguridad de Zoom: https://www.zoom.com/en/trust/security-bulletin/zsb-25048/, https://www.zoom.com/en/trust/security-bulletin/zsb-25043/, https://www.zoom.com/en/trust/security-bulletin/zsb-25042/
CSIRT-UC