Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-15715

Опубликовано: 30 нояб. 2018
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Уязвимость неавторизованной обработки сообщений в Zoom клиентах на Windows, Mac OS и Linux

Описание

В приложении Zoom для операционных систем Windows, Mac OS и Linux обнаружена уязвимость неавторизованной обработки сообщений. Злоумышленник, не обладая предварительной аутентификацией, способен подменять UDP-сообщения от участника конференции или сервера Zoom. Это позволяет злоумышленнику удалять участников из конференций, подменять сообщения от пользователей или захватывать управление совместными экранами.

Затронутые версии ПО

  • Windows: до версии 4.1.34814.1119
  • Mac OS: до версии 4.1.34801.1116
  • Linux: версии 2.4.129780.0915 и ниже

Тип уязвимости

  • Подмена (спуфинг)
  • Другие неавторизованные изменения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zoom:zoom:*:*:*:*:*:linux:*:*
Версия до 2.4.129780.0915 (включая)
cpe:2.3:a:zoom:zoom:*:*:*:*:*:mac_os_x:*:*
Версия до 4.1.34801.1116 (исключая)
cpe:2.3:a:zoom:zoom:*:*:*:*:*:windows:*:*
Версия до 4.1.34814.1119 (исключая)

EPSS

Процентиль: 80%
0.014
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-290
CWE-20

Связанные уязвимости

github логотип

GHSA-gf85-hm2v-6785

CVSS3: 9.8
github
больше 3 лет назад

Zoom clients on Windows (before version 4.1.34814.1119), Mac OS (before version 4.1.34801.1116), and Linux (2.4.129780.0915 and below) are vulnerable to unauthorized message processing. A remote unauthenticated attacker can spoof UDP messages from a meeting attendee or Zoom server in order to invoke functionality in the target client. This allows the attacker to remove attendees from meetings, spoof messages from users, or hijack shared screens.

EPSS

Процентиль: 80%
0.014
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-290
CWE-20