Zoom 和施乐发布紧急安全更新,修复权限提升与远程代码执行漏洞
- 浏览次数 553
- 喜欢 0
HackerNews 编译,转载请注明出处:
Zoom与施乐(Xerox)已修复其Windows客户端和FreeFlow Core中的高危安全漏洞,这些漏洞可能导致权限提升及远程代码执行。
影响Zoom Windows客户端的漏洞(CVE-2025-49457,CVSS评分9.6)涉及非可信路径搜索问题,可能引发权限提升。Zoom在周二的安全公告中表示:“特定Zoom Windows客户端的非可信路径搜索漏洞,或导致未认证攻击者通过网络访问实现权限提升。”该漏洞由Zoom内部攻防安全团队发现,影响以下产品:
- Zoom Workplace for Windows 6.3.10之前版本
- Zoom Workplace VDI for Windows 6.3.10之前版本(6.1.16和6.2.12除外)
- Zoom Rooms for Windows 6.3.10之前版本
- Zoom Rooms Controller for Windows 6.3.10之前版本
- Zoom Meeting SDK for Windows 6.3.10之前版本
同时,施乐FreeFlow Core披露了多个漏洞,其中最严重的可导致远程代码执行。这些问题已在8.0.4版本中修复,包括:
- CVE-2025-8355(CVSS评分7.5):XML外部实体注入(XXE)漏洞,可触发服务端请求伪造(SSRF)
- CVE-2025-8356(CVSS评分9.8):路径遍历漏洞,可引发远程代码执行
安全公司Horizon3.ai指出:“这些漏洞利用门槛低,一旦被利用,攻击者可在受影响系统上执行任意命令、窃取敏感数据,或尝试横向渗透企业环境扩大攻击范围。”研究员吉米·塞布里解释称,CVE-2025-8355源于处理作业消息格式(JMF)的二进制文件(jmfclient.jar)未对XML外部实体进行清理或限制,导致攻击者可构造特殊请求实施SSRF攻击;而CVE-2025-8356则因XML解析程序对文件上传类JMF命令处理不当,使得攻击者能通过构造HTTP请求将Web Shell植入公开可访问路径。“虽然4004端口的服务本身无法提供执行该文件的功能,但主Web门户具备执行和传递恶意负载的全部能力。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文