Zoom y GitLab han lanzado actualizaciones de seguridad que resuelven una serie de vulnerabilidades de seguridad que podrían provocar una denegación de servicio (DoS) o la ejecución remota de código.
El problema más grave es una falla de seguridad crítica que afecta al enrutador multimedia Zoom Node (MMR) y que podría permitir a los participantes de la reunión realizar ataques de ejecución remota de código. La vulnerabilidad, rastreada como CVE-2026-22844, fue descubierta internamente por el equipo de Attack Security y tenía una puntuación CVSS de 9,9 sobre 10,0.
«Una vulnerabilidad de inyección de comandos en el enrutador multimedia Zoom Node (MMR) anterior a la versión 5.2.1716.0 podría permitir a un participante de la reunión realizar la ejecución remota de código del MMR a través del acceso a la red», señaló la compañía en una alerta del martes.
Zoom recomienda que los clientes que utilizan implementaciones de Zoom Node Meetings, Hybrid o Meeting Connector actualicen a la última versión de MMR disponible para protegerse contra posibles amenazas.
No hay evidencia de que esta falla de seguridad haya sido explotada en la naturaleza. Esta vulnerabilidad afecta a las siguientes versiones:
Versiones del módulo MMR híbrido (ZMH) de Zoom Node Meetings anteriores a 5.2.1716.0 Versiones del módulo MMR de Zoom Node Meeting Connector (MC) anteriores a 5.2.1716.0
GitLab lanza parche para falla crítica
Esta divulgación se produce cuando GitLab publica correcciones para múltiples fallas de alta gravedad que afectan a Community Edition (CE) y Enterprise Edition (EE) y que podrían provocar DoS o eludir las protecciones de autenticación de dos factores (2FA). Las desventajas son:
CVE-2025-13927 (puntuación CVSS: 7,5): vulnerabilidad que permite a un usuario no autenticado provocar una condición DoS enviando una solicitud diseñada que contiene datos de autenticación con formato incorrecto en 18.6.4 anterior a 11.9, 18.7 anterior a 18.7.2 y 18.8.2 anterior a 18.8. CVE-2025-13928 (puntuación CVSS: 7,5): una vulnerabilidad de autenticación incorrecta en la versión API permite que un usuario no autenticado provoque una condición DoS (17,7 antes de 18.6.4, 18,7 antes de 18.7.2 y 18,8 antes de 18.8.2) CVE-2026-0723 (puntuación CVSS: 7,4) – Vulnerabilidad que permite a una persona con conocimiento existente de la identidad de la credencial de la víctima evitar 2FA enviando una respuesta de dispositivo falsificada (18.6.4 anterior a 18.6, 18.7 anterior a 18.7.2 y 18.8.2 anterior (afecta a todas las versiones de 18.8)
GitLab también corrigió otros dos errores de gravedad media que podrían causar una condición DoS (CVE-2025-13335, puntuación CVSS: 6.5 y CVE-2026-1102, puntuación CVSS: 5.3) al configurar un documento Wiki con formato incorrecto que omite la detección de ciclos y envía repetidamente solicitudes de autenticación SSH con formato incorrecto.
Source link
