ज़ूम क्लाइंट्स - क्रॉस-साइट स्क्रिप्टिंग

यह XSS भेद्यता हमलावर को किसी प्रमाणित उपयोगकर्ता के संदर्भ में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है। हमलावर उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट इंजेक्ट कर सकता है, जिससे हमलावर संवेदनशील जानकारी, जैसे कि मीटिंग विवरण, उपयोगकर्ता नाम और अन्य व्यक्तिगत डेटा तक पहुंच प्राप्त कर सकता है। इस जानकारी का उपयोग आगे की हमलों के लिए किया जा सकता है, जैसे कि फ़िशिंग या पहचान की चोरी। चूंकि भेद्यता प्रमाणित उपयोगकर्ताओं को लक्षित करती है, इसलिए इसका प्रभाव व्यापक हो सकता है, खासकर उन संगठनों में जहां उपयोगकर्ता अक्सर ज़ूम का उपयोग करते हैं।

Organizations heavily reliant on Zoom for internal and external communication are at increased risk. Users with elevated privileges within the Zoom client, such as administrators or meeting hosts, are particularly vulnerable. Environments with legacy Zoom client deployments or those lacking robust patch management processes are also at higher risk.

• zoom / client: Monitor Zoom client logs for unusual script execution patterns. Examine network traffic for suspicious payloads.

Get-Process zoom | Select-Object -ExpandProperty CommandLine

• generic web: Check Zoom client update mechanisms for signs of tampering or unauthorized modifications. Review Zoom client configuration files for any unusual settings.

1. 2025-07-10Disclosure

   disclosure

1. आरक्षित2025-06-04
2. प्रकाशित2025-07-10
3. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, ज़ूम क्लाइंट को संस्करण 6.4.5 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो ज़ूम के भीतर संवेदनशील जानकारी प्रदर्शित करने वाले किसी भी लिंक या बटन पर क्लिक करते समय सावधानी बरतें। ज़ूम व्यवस्थापक अपने नेटवर्क पर ज़ूम ट्रैफ़िक की निगरानी कर सकते हैं और संदिग्ध गतिविधि के लिए अलर्ट सेट कर सकते हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को कम किया जा सकता है, लेकिन यह पूर्ण सुरक्षा की गारंटी नहीं देता है।