LOWCVE-2025-49462CVSS 3.5

Zoom Clients - クロスサイトスクリプティング

プラットフォーム

zoom

コンポーネント

zoom-clients

修正版

6.4.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-49462は、Zoom Clientsにおけるクロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性は、認証されたユーザーがネットワーク経由で機密情報を漏洩させる可能性を秘めています。影響を受けるバージョンはZoom Clients 0から6.4.5です。Zoomはバージョン6.4.5でこの問題を修正しました。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は悪意のあるスクリプトをZoom Clientsに注入し、ユーザーがそのスクリプトを実行した際に、機密情報を盗み出す、またはユーザーを悪意のあるウェブサイトにリダイレクトさせることが可能になります。攻撃者は、ユーザーの認証情報を窃取し、そのアカウントを乗っ取ることも考えられます。この脆弱性は、特に機密情報を扱う会議や、多くのユーザーが参加する大規模な会議において、深刻な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2025年7月10日に公開されました。現時点では、公的なPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations heavily reliant on Zoom for internal and external communication are at increased risk. Users with elevated privileges within the Zoom client, such as administrators or meeting hosts, are particularly vulnerable. Environments with legacy Zoom client deployments or those lacking robust patch management processes are also at higher risk.

検出手順翻訳中…

• zoom / client: Monitor Zoom client logs for unusual script execution patterns. Examine network traffic for suspicious payloads.

Get-Process zoom | Select-Object -ExpandProperty CommandLine

• generic web: Check Zoom client update mechanisms for signs of tampering or unauthorized modifications. Review Zoom client configuration files for any unusual settings.

攻撃タイムライン

2025-07-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントzoom-clients

ベンダーZoom Communications Inc.

影響範囲修正版

0 – 6.4.56.4.5

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-06-04
公開日2025-07-10
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Zoom Clientsをバージョン6.4.5以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、信頼できない送信者からのリンクや添付ファイルを開く際には、細心の注意を払うようにしてください。また、Zoomのセキュリティ設定を見直し、不要な機能や権限を制限することも有効です。Web Application Firewall (WAF) を使用している場合は、XSS攻撃を検知・防御するルールを適用することを検討してください。

修正方法

Zoom Clientsをバージョン6.4.5以降にアップデートしてください。このアップデートは、情報漏洩を可能にするCross-site Scripting (XSS)の脆弱性を修正します。Zoomの公式ウェブサイトまたは通常のアップデートチャネルから最新バージョンをダウンロードしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-49462 — XSS in Zoom Clientsとは何ですか？

CVE-2025-49462は、Zoom Clients (バージョン0–6.4.5)におけるクロスサイトスクリプティング（XSS）の脆弱性です。認証されたユーザーがネットワーク経由で情報漏洩を引き起こす可能性があります。

CVE-2025-49462 in Zoom Clientsの影響はありますか？

Zoom Clientsのバージョンが0から6.4.5の場合、影響を受けます。攻撃者は悪意のあるスクリプトを注入し、ユーザーの認証情報を窃取する可能性があります。

CVE-2025-49462 in Zoom Clientsを修正するにはどうすればよいですか？

Zoom Clientsをバージョン6.4.5以降にアップデートしてください。アップデートが困難な場合は、信頼できない送信者からのリンクや添付ファイルを開く際には、細心の注意を払ってください。

CVE-2025-49462は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2025-49462に関するZoomの公式アドバイザリはどこで入手できますか？

Zoomのセキュリティアドバイザリページで確認できます。詳細はZoomの公式ウェブサイトを参照してください。