Zoom - CVE-2026-53407
Date de publication :
Date de mise à jour :
Il s'agit d'une vulnérabilité de contrôle d’autorisation insuffisant dans le gestionnaire de schéma d’URL personnalisé de Zoom Workplace.
Zoom Workplace est une application collaborative permettant la communication (visioconférence, messagerie, collaboration) sur terminaux mobiles et postes utilisateurs.
La vulnérabilité réside dans un contrôle d’accès incorrect lors du traitement des schémas d’URL personnalisés, permettant à des requêtes malicieuses d’être acceptées sans vérification appropriée des droits.
Un attaquant distant non authentifié peut exploiter cette faille via le réseau pour élever ses privilèges et accéder à des fonctionnalités ou des données normalement protégées.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Élévation de privilèges
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-939 : Improper Authorization in Handler for Custom URL Scheme
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Solutions ou recommandations
• Mise à jour vers Zoom Workplace version 7.0.3 ou ultérieure pour iOS