Se ha publicado recientemente el boletín de seguridad de noviembre de 2025 de Zoom, en el que se corrigen varias vulnerabilidades de alta y media severidad en los clientes, SDKs y componentes VDI de Zoom Workplace
Análisis
Las vulnerabilidades destacadas tienen asignados los siguientes identificadores CVE:
- CVE-2025-64741 — vulnerabilidad alta (CVSSv3 8.1) de tipo escalado de privilegios
- CVE-2025-64740 — vulnerabilidad alta (CVSSv3 7.5) de tipo escalado de privilegios
- CVE-2025-62484 — vulnerabilidad alta (CVSSv3 8.1) de tipo escalado de privilegios
- CVE-2025-62483 — vulnerabilidad media (CVSSv3 5.3) de tipo divulgación de información
La vulnerabilidad CVE-2025-64740 se produjo porque el instalador del cliente VDI para Windows de Zoom no validaba correctamente las firmas criptográficas, lo que podría permitir a un usuario local autenticado manipular el instalador y escalar privilegios en el sistema.
En cuanto a CVE-2025-64741, afecta a la aplicación Android de Zoom Workplace, e implica un manejo inadecuado de autorizaciones, donde un atacante podría llevar a cabo acciones no permitidas por falta de comprobación de permisos.
Productos afectados
- Zoom Workplace VDI Client para Windows, versiones anteriores a 6.3.14, 6.4.12 y 6.5.10 según la rama.
- Zoom Meeting SDK, Zoom Rooms, Zoom Rooms Controller, y otros clientes de Zoom Workplace en múltiples plataformas (Windows, macOS, iOS, Linux) antes de la versión parcheada 6.5.10
Recomendaciones
- Actualizar todos los clientes de Zoom Workplace, el VDI Client, los SDKs y componentes a la versión más reciente publicada 6.5.10 o superior
Se puede encontrar información detallada en el Boletin de Seguridad de Zoom: https://www.zoom.com/es/trust/security-bulletin/?lang=en-US
Referencias