Vulnérabilités dans Zoom
Date de publication :
Deux vulnérabilités ont été découvertes dans Zoom. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire.
CVE-2020-6109 [Score CVSS v3 : 8.5] : Une vulnérabilité de type “path traversal” a été découverte dans Zoom Client lorsque celui-ci traite des fichiers GIF inclus dans des messages. Un attaquant peut exploiter cette vulnérabilité en envoyant un message spécialement conçu afin de pouvoir exécuter du code arbitraire sur un système vulnérable.
CVE-2020-6110 [Score CVSS v3 : 8.0] : Une vulnérabilité de type “partial path traversal” a été découverte dans Zoom Client lorsque celui-ci traite des messages contenant des morceaux de code. Un attaquant peut exploiter cette vulnérabilité en envoyant un message spécialement conçu afin de pouvoir exécuter du code arbitraire sur un système vulnérable. Pour un effet plus sévère, une interaction utilisateur est nécessaire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.5 et 8.0
Existence d’un code d’exploitation
- Des explications suffisamment détaillées sont disponibles publiquement afin d’exploiter les vulnérabilités
Composants vulnérables
- Zoom Client Application 4.6.10
CVE
- CVE-2020-6109
- CVE-2020-6110
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Zoom vers une version non vulnérable
Solution de contournement
Aucune solution de contournement n’est disponible