CVE-2022-22784

Опубликовано: 18 мая 2022

Источник: nvd

CVSS3: 8.1

CVSS2: 5.5

EPSS Низкий

Описание

The Zoom Client for Meetings (for Android, iOS, Linux, MacOS, and Windows) before version 5.10.0 failed to properly parse XML stanzas in XMPP messages. This can allow a malicious user to break out of the current XMPP message context and create a new message context to have the receiving users client perform a variety of actions.This issue could be used in a more sophisticated attack to forge XMPP messages from the server.

Ссылки

https://explore.zoom.us/en/trust/security/security-bulletin
Vendor Advisory
https://explore.zoom.us/en/trust/security/security-bulletin
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zoom:meetings:*:*:*:*:*:android:*:*

Версия до 5.10.0 (исключая)

cpe:2.3:a:zoom:meetings:*:*:*:*:*:iphone_os:*:*

Версия до 5.10.0 (исключая)

cpe:2.3:a:zoom:meetings:*:*:*:*:*:linux:*:*

Версия до 5.10.0 (исключая)

cpe:2.3:a:zoom:meetings:*:*:*:*:*:macos:*:*

Версия до 5.10.0 (исключая)

cpe:2.3:a:zoom:meetings:*:*:*:*:*:windows:*:*

Версия до 5.10.0 (исключая)

EPSS

Процентиль: 81%

0.01545

Низкий

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-91

Связанные уязвимости

GHSA-2894-36c8-f98v

CVSS3: 8.1

github

больше 3 лет назад

BDU:2022-03301

CVSS3: 8.1

fstec

почти 4 года назад

Уязвимость клиента для проведения аудио- и видеоконференций в режиме реального времени Zoom Client for Meetings для Android, iOS, Linux, macOS и Windows, связанная с некорректным анализом данных XML в сообщениях XMPP, позволяющая нарушителю выполнить спуфинговую атаку

EPSS

Процентиль: 81%

0.01545

Низкий

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-91