CVE-2025-49462 描述了 Zoom Clients 中存在的跨站脚本攻击 (XSS) 漏洞。该漏洞可能允许经过身份验证的用户通过网络访问泄露信息。受影响的版本包括 0 到 6.4.5 版本。已发布补丁,建议用户尽快升级至 6.4.5 版本以修复此安全问题。
该 XSS 漏洞允许攻击者在受影响的 Zoom Clients 中注入恶意脚本。攻击者可以利用此漏洞窃取用户的敏感信息,例如会话 Cookie 或其他凭据。此外,攻击者还可以利用此漏洞劫持用户的会话,冒充用户执行操作。由于该漏洞需要用户已通过身份验证,因此攻击者通常需要先获取用户的凭据或利用其他攻击手段来获取访问权限。攻击的潜在影响包括信息泄露、会话劫持和账户接管。
该漏洞已于 2025 年 7 月 10 日公开披露。目前尚无公开的利用程序 (PoC),但由于 XSS 漏洞的普遍性,存在被利用的风险。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态,以便及时了解漏洞的最新信息。
Organizations heavily reliant on Zoom for internal and external communication are at increased risk. Users with elevated privileges within the Zoom client, such as administrators or meeting hosts, are particularly vulnerable. Environments with legacy Zoom client deployments or those lacking robust patch management processes are also at higher risk.
• zoom / client: Monitor Zoom client logs for unusual script execution patterns. Examine network traffic for suspicious payloads.
Get-Process zoom | Select-Object -ExpandProperty CommandLine• generic web: Check Zoom client update mechanisms for signs of tampering or unauthorized modifications. Review Zoom client configuration files for any unusual settings.
disclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的首要措施是立即将 Zoom Clients 升级至 6.4.5 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以限制用户的权限,以减少攻击者利用漏洞造成的损害。此外,可以实施严格的输入验证和输出编码策略,以防止恶意脚本的注入。监控 Zoom Clients 的网络流量,以检测任何异常活动,并及时采取应对措施。
升级到 Zoom 客户端 6.4.5 或更高版本。此更新修复了可能导致信息泄露的跨站脚本 (XSS) 漏洞。从 Zoom 官方网站或常规更新渠道下载最新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49462 是一个跨站脚本攻击 (XSS) 漏洞,影响到 Zoom Clients 的 0–6.4.5 版本。攻击者可以利用此漏洞在客户端中注入恶意脚本。
如果您正在使用 Zoom Clients 的 0–6.4.5 版本,则您可能受到此漏洞的影响。请尽快升级至 6.4.5 或更高版本。
要修复此漏洞,请将 Zoom Clients 升级至 6.4.5 或更高版本。
目前尚无公开的利用程序,但由于 XSS 漏洞的普遍性,存在被利用的风险。
请访问 Zoom 的官方安全公告页面,以获取有关此漏洞的更多信息:[Zoom 安全公告链接 - 假设存在,需要替换为实际链接]