Уязвимость внедрения HTML в Zoom с обходом безопасности через имя пользователя
Описание
В Zoom обнаружена уязвимость, связанная с внедрением HTML. Злоумышленник способен вставить HTML-код в свое отображаемое имя, что может привести к перенаправлению пользователя на вредоносный сайт в процессе создания встречи.
Затронутые версии ПО
- Zoom версии до 5.13.10
Тип уязвимости
Внедрение HTML
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 5.13.10 (исключая)Версия до 5.13.10 (исключая)Версия до 5.13.10 (исключая)Версия до 5.13.10 (исключая)Версия до 5.13.10 (исключая)
Одно из
cpe:2.3:a:zoom:zoom:*:*:*:*:*:android:*:*
cpe:2.3:a:zoom:zoom:*:*:*:*:*:iphone_os:*:*
cpe:2.3:a:zoom:zoom:*:*:*:*:*:linux:*:*
cpe:2.3:a:zoom:zoom:*:*:*:*:*:macos:*:*
cpe:2.3:a:zoom:zoom:*:*:*:*:*:windows:*:*
EPSS
Процентиль: 60%
0.00395
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-79
CWE-74
Связанные уязвимости
CVSS3: 4.3
github
больше 2 лет назад
Zoom clients prior to 5.13.10 contain an HTML injection vulnerability. A malicious user could inject HTML into their display name potentially leading a victim to a malicious website during meeting creation.
EPSS
Процентиль: 60%
0.00395
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-79
CWE-74