Plataforma
zoom
Componente
zoom-clients
Corrigido em
6.4.5
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada em versões do Zoom Clients anteriores à 6.4.5. Essa falha permite que um usuário autenticado execute scripts maliciosos, potencialmente levando à divulgação de informações através do acesso à rede. A vulnerabilidade foi publicada em 10 de julho de 2025 e corrigida na versão 6.4.5 do Zoom Clients.
A exploração bem-sucedida desta vulnerabilidade XSS pode permitir que um atacante execute código JavaScript arbitrário no contexto da sessão de um usuário autenticado no Zoom Clients. Isso pode levar à roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação da interface do usuário para induzir o usuário a revelar informações confidenciais, como credenciais de login ou dados pessoais. O impacto potencial é a exposição de dados sensíveis e a comprometimento da conta do usuário.
A vulnerabilidade foi divulgada publicamente em 10 de julho de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A probabilidade de exploração é considerada baixa, mas a natureza da vulnerabilidade XSS exige atenção e mitigação proativa.
Organizations heavily reliant on Zoom for internal and external communication are at increased risk. Users with elevated privileges within the Zoom client, such as administrators or meeting hosts, are particularly vulnerable. Environments with legacy Zoom client deployments or those lacking robust patch management processes are also at higher risk.
• zoom / client: Monitor Zoom client logs for unusual script execution patterns. Examine network traffic for suspicious payloads.
Get-Process zoom | Select-Object -ExpandProperty CommandLine• generic web: Check Zoom client update mechanisms for signs of tampering or unauthorized modifications. Review Zoom client configuration files for any unusual settings.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Zoom Clients para a versão 6.4.5 ou superior. Em ambientes onde a atualização imediata não é possível, considere implementar políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no navegador. Monitore logs de rede e do Zoom Clients para atividades suspeitas, como requisições para domínios desconhecidos ou execução de scripts inesperados. Após a atualização, confirme a correção verificando se a funcionalidade que apresentava a vulnerabilidade XSS não é mais suscetível à injeção de scripts.
Atualize para a versão 6.4.5 ou posterior do Zoom Clients. Esta atualização corrige a vulnerabilidade de Cross-site Scripting (XSS) que poderia permitir a divulgação de informações. Baixe a última versão do site oficial da Zoom ou através dos canais de atualização habituais.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49462 is a Cross-Site Scripting (XSS) vulnerability affecting Zoom Clients versions 0–6.4.5, allowing potential information disclosure.
If you are using a Zoom Client version between 0 and 6.4.5, you are potentially affected by this XSS vulnerability.
Upgrade your Zoom Clients to version 6.4.5 or later to resolve this vulnerability.
There are currently no publicly known active exploitation campaigns for CVE-2025-49462.
Refer to the official Zoom security advisory for CVE-2025-49462 on the Zoom security website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.