CRITICAL🇬🇧 English

CVE-2026-30903

Zoom Workplace dla Windows — privilege escalation przez kontrolę ścieżki pliku w funkcji Mail

CVSS 9.6v3.1pub. 2026-03-11upd. 2026-05-14

Podatność w funkcji Mail aplikacji Zoom Workplace dla Windows umożliwia niezautoryzowanemu użytkownikowi eskalację uprawnień poprzez sieć. Wysoka ocena CVSS 9.6 wskazuje na poważne zagrożenie dla integralności, poufności i dostępności systemu.

Pokaż oryginał (EN)

External Control of File Name or Path in the Mail feature of Zoom Workplace for Windows before 6.6.0 may allow an unauthenticated user to conduct an escalation of privilege via network access.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-73 (External Control of File Name or Path) oraz CWE-610 polega na tym, że zewnętrzny atakujący może wpływać na nazwę lub ścieżkę pliku używaną przez funkcję Mail aplikacji. Nie jest wymagane uwierzytelnienie ani lokalne konto — atak może być przeprowadzony zdalnie przez sieć. Interakcja użytkownika (UI:R) jest wymagana do wyzwolenia podatności, co oznacza, że ofiara musi wykonać pewną czynność, np. otworzyć wiadomość lub kliknąć element w interfejsie. Podatność może prowadzić do eskalacji uprawnień poprzez manipulację plikiem lub ścieżką wskazywaną przez aplikację.

Skutki

Niezautoryzowany atakujący może dokonać eskalacji uprawnień na systemie ofiary, potencjalnie uzyskując dostęp do wrażliwych danych, modyfikując je lub powodując niedostępność usług (pełny wpływ na poufność, integralność i dostępność).

Mitygacja

Należy zaktualizować Zoom Workplace dla Windows do wersji 6.6.0 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta: https://www.zoom.com/en/trust/security-bulletin/zsb-26005

Kogo dotyczy

Zoom Workplace Desktop dla Windows w wersjach przed 6.6.0, Zoom Workplace Virtual Desktop Infrastructure (VDI) — wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Zoom Workplace Desktop

    APP
    Zoom
    < 6.6.0
  • Zoom Workplace Virtual Desktop Infrastructure

    APP
    Zoom
    6.4.0 – 6.4.17 (bez)6.5.0 – 6.5.15 (bez)6.6.0 – 6.6.10 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-49457CRITICAL9.6PL ✓ten sam produkt

Untrusted search path w klientach Zoom dla Windows — privilege escalation przez sieć

CVE-2026-30905HIGH7.8ten sam produkt

External Control of File Name or Path in the Zoom Workplace VDI Plugin Windows Universal Installer before vers...

CVE-2026-30900HIGH7.8ten sam produkt

Improper Check of minimum version in update functionality of certain Zoom Clients for Windows may allow an aut...

CVE-2026-30902HIGH7.8ten sam produkt

Improper Privilege Management in certain Zoom Clients for Windows may allow an authenticated user to conduct a...

CVE-2025-64740HIGH7.5ten sam produkt

Improper verification of cryptographic signature in the installer for Zoom Workplace VDI Client for Windows ma...