Plataforma
zoom
Componente
zoom-clients
Corregido en
6.4.5
El CVE-2025-49462 describe una vulnerabilidad de Cross-Site Scripting (XSS) presente en ciertas versiones de los clientes de Zoom (0–6.4.5). Esta vulnerabilidad podría permitir a un usuario autenticado la divulgación de información a través del acceso a la red. La vulnerabilidad ha sido solucionada en la versión 6.4.5 y se recomienda actualizar a esta versión para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad XSS para inyectar scripts maliciosos en la interfaz de usuario de Zoom. Al hacerlo, podría robar información sensible del usuario, como credenciales de inicio de sesión o datos confidenciales compartidos durante las reuniones. La divulgación de información podría ocurrir si el atacante logra engañar al usuario para que ejecute el script malicioso, por ejemplo, a través de un enlace malicioso o una notificación falsa. Aunque la severidad es baja, la amplia base de usuarios de Zoom y la posibilidad de robo de información hacen que esta vulnerabilidad sea preocupante.
El CVE-2025-49462 fue publicado el 2025-07-10. No se han reportado activamente campañas de explotación en este momento. No se ha añadido a la lista KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) para esta vulnerabilidad, lo que sugiere un riesgo de explotación relativamente bajo, aunque la posibilidad existe.
Organizations heavily reliant on Zoom for internal and external communication are at increased risk. Users with elevated privileges within the Zoom client, such as administrators or meeting hosts, are particularly vulnerable. Environments with legacy Zoom client deployments or those lacking robust patch management processes are also at higher risk.
• zoom / client: Monitor Zoom client logs for unusual script execution patterns. Examine network traffic for suspicious payloads.
Get-Process zoom | Select-Object -ExpandProperty CommandLine• generic web: Check Zoom client update mechanisms for signs of tampering or unauthorized modifications. Review Zoom client configuration files for any unusual settings.
disclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-49462 es actualizar los clientes de Zoom a la versión 6.4.5 o superior. Si la actualización a la versión 6.4.5 causa problemas de compatibilidad, se recomienda contactar con el soporte de Zoom para obtener asistencia. No existen configuraciones alternativas o parches disponibles en este momento. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la versión del cliente de Zoom y realizando pruebas básicas de funcionalidad.
Actualice a la versión 6.4.5 o posterior de Zoom Clients. Esta actualización corrige la vulnerabilidad de Cross-site Scripting (XSS) que podría permitir la divulgación de información. Descargue la última versión desde el sitio web oficial de Zoom o a través de los canales de actualización habituales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49462 is a Cross-Site Scripting (XSS) vulnerability affecting Zoom Clients versions 0–6.4.5, allowing potential information disclosure.
If you are using a Zoom Client version between 0 and 6.4.5, you are potentially affected by this XSS vulnerability.
Upgrade your Zoom Clients to version 6.4.5 or later to resolve this vulnerability.
There are currently no publicly known active exploitation campaigns for CVE-2025-49462.
Refer to the official Zoom security advisory for CVE-2025-49462 on the Zoom security website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.