Zoom和GitLab已发布安全更新,修复多个可能导致拒绝服务攻击和远程代码执行的安全漏洞。
最严重漏洞影响Zoom节点多媒体路由器
其中最严重的是影响Zoom节点多媒体路由器(MMR)的关键安全漏洞,可能允许会议参与者进行远程代码执行攻击。该漏洞编号为CVE-2026-22844,由Zoom内部攻击安全团队发现,CVSS评分高达9.9分(满分10分)。
"Zoom节点多媒体路由器5.2.1716.0版本之前存在命令注入漏洞,可能允许会议参与者通过网络访问对MMR进行远程代码执行攻击,"该公司在周二的安全警报中指出。
Zoom建议使用Zoom Node Meetings、Hybrid或Meeting Connector部署的客户更新到最新的MMR版本,以防范潜在威胁。目前没有证据表明该安全漏洞已被恶意利用。
该漏洞影响以下版本:
- 5.2.1716.0版本之前的Zoom Node Meetings Hybrid(ZMH)MMR模块
- 5.2.1716.0版本之前的Zoom Node Meeting Connector(MC)MMR模块
GitLab修复多个高危漏洞
同时,GitLab也发布了针对其社区版(CE)和企业版(EE)多个高危漏洞的修复程序,这些漏洞可能导致拒绝服务攻击和双因素认证绕过。具体漏洞包括:
CVE-2025-13927(CVSS评分:7.5分)- 该漏洞可能允许未认证用户通过发送包含恶意认证数据的精心构造请求来创建拒绝服务条件。影响版本:11.9至18.6.4之前的所有版本、18.7至18.7.2之前版本,以及18.8至18.8.2之前版本。
CVE-2025-13928(CVSS评分:7.5分)- Releases API中的错误授权漏洞,可能允许未认证用户造成拒绝服务条件。影响版本:17.7至18.6.4之前的所有版本、18.7至18.7.2之前版本,以及18.8至18.8.2之前版本。
CVE-2026-0723(CVSS评分:7.4分)- 该漏洞可能允许已知受害者凭据ID的个人通过提交伪造的设备响应来绕过双因素认证。影响版本:18.6至18.6.4之前的所有版本、18.7至18.7.2之前版本,以及18.8至18.8.2之前版本。
GitLab还修复了另外两个中等严重程度的漏洞,这些漏洞也可能触发拒绝服务条件:CVE-2025-13335(CVSS评分:6.5分)和CVE-2026-1102(CVSS评分:5.3分),分别通过配置绕过循环检测的恶意Wiki文档和发送重复的恶意SSH认证请求来实现攻击。
Q&A
Q1:Zoom节点多媒体路由器漏洞有多严重?
A:这是一个关键级别的安全漏洞,编号CVE-2026-22844,CVSS评分高达9.9分。该漏洞可能允许会议参与者对多媒体路由器进行远程代码执行攻击,影响5.2.1716.0版本之前的所有MMR模块。
Q2:GitLab的双因素认证绕过漏洞如何工作?
A:CVE-2026-0723漏洞允许已知受害者凭据ID的攻击者通过提交伪造的设备响应来绕过双因素认证保护,CVSS评分为7.4分,影响18.6到18.8.2之前的多个版本。
Q3:用户应该如何应对这些安全漏洞?
A:Zoom用户应立即将节点多媒体路由器更新到5.2.1716.0或更新版本。GitLab用户应升级到18.6.4、18.7.2或18.8.2版本,具体取决于当前使用的版本分支。
热门跟贴