Технологические компании Zoom и Xerox выпустили экстренные обновления безопасности для устранения серьезных уязвимостей в своих продуктах. Проблема в программном обеспечении Xerox может привести к удаленному выполнению кода (RCE), в то время как ошибка в Zoom открывает возможность для повышения привилегий в системе.
Согласно бюллетеню безопасности Zoom, опубликованному во вторник, была обнаружена критическая уязвимость, отслеживаемая под идентификатором CVE-2025-49457. Ей присвоен рейтинг 9.6 по шкале CVSS, что классифицирует угрозу как критическую. Причиной является ошибка типа «недоверенный путь поиска».
Данная уязвимость позволяет неаутентифицированному пользователю с доступом к сети осуществить эскалацию привилегий. Это означает, что злоумышленник может получить более высокий уровень контроля над системой, чем ему было предоставлено изначально, обходя стандартные механизмы защиты.
Проблема затрагивает несколько продуктов Zoom для операционной системы Windows. В список уязвимых версий входят Zoom Workplace VDI, Zoom Rooms for Windows, Zoom Rooms Controller for Windows и Zoom Meeting SDK for Windows с версиями до 6.3.10.
Компания уточнила, что версии 6.1.16 и 6.2.12 не подвержены этой уязвимости. Также в списке затронутых версий фигурирует номер 3.10. Пользователям настоятельно рекомендуется обновиться до последних версий, чтобы избежать эксплуатации этой бреши.
Одновременно компания Xerox выпустила исправления для своего продукта FreeFlow Core. Обновление до версии 8.0.4 устраняет сразу несколько уязвимостей, наиболее опасная из которых открывает возможность для полного захвата контроля над системой.
Первая из уязвимостей Xerox, CVE-2025-8355, получила оценку 7.5 (высокий уровень опасности). Она связана с внедрением внешней XML-сущности (XXE) и может быть использована для подделки запросов на стороне сервера (SSRF), что позволяет атакующему взаимодействовать с внутренними системами.
Вторая и наиболее серьезная уязвимость, CVE-2025-8356, оценена в 9.8 (критический уровень). Эта ошибка типа «обход каталога» (path traversal) может привести к удаленному выполнению произвольного кода (RCE) на сервере, где установлено ПО FreeFlow Core.
Аналитики из компании , изучившие проблемы безопасности в продукте Xerox, пришли к выводу о высоком риске их эксплуатации.
По их оценке, эти уязвимости «элементарны для эксплуатации». Это означает, что для их использования злоумышленникам не требуются глубокие технические знания или сложные инструменты, что значительно повышает вероятность атаки.
Эксперты предупреждают, что успешная эксплуатация этих брешей позволяет выполнять произвольные команды в системе, похищать конфиденциальные данные и осуществлять латеральное перемещение внутри корпоративной сети для дальнейшего развития атаки на другие ресурсы компании.
Изображение носит иллюстративный характер
Согласно бюллетеню безопасности Zoom, опубликованному во вторник, была обнаружена критическая уязвимость, отслеживаемая под идентификатором CVE-2025-49457. Ей присвоен рейтинг 9.6 по шкале CVSS, что классифицирует угрозу как критическую. Причиной является ошибка типа «недоверенный путь поиска».
Данная уязвимость позволяет неаутентифицированному пользователю с доступом к сети осуществить эскалацию привилегий. Это означает, что злоумышленник может получить более высокий уровень контроля над системой, чем ему было предоставлено изначально, обходя стандартные механизмы защиты.
Проблема затрагивает несколько продуктов Zoom для операционной системы Windows. В список уязвимых версий входят Zoom Workplace VDI, Zoom Rooms for Windows, Zoom Rooms Controller for Windows и Zoom Meeting SDK for Windows с версиями до 6.3.10.
Компания уточнила, что версии 6.1.16 и 6.2.12 не подвержены этой уязвимости. Также в списке затронутых версий фигурирует номер 3.10. Пользователям настоятельно рекомендуется обновиться до последних версий, чтобы избежать эксплуатации этой бреши.
Одновременно компания Xerox выпустила исправления для своего продукта FreeFlow Core. Обновление до версии 8.0.4 устраняет сразу несколько уязвимостей, наиболее опасная из которых открывает возможность для полного захвата контроля над системой.
Первая из уязвимостей Xerox, CVE-2025-8355, получила оценку 7.5 (высокий уровень опасности). Она связана с внедрением внешней XML-сущности (XXE) и может быть использована для подделки запросов на стороне сервера (SSRF), что позволяет атакующему взаимодействовать с внутренними системами.
Вторая и наиболее серьезная уязвимость, CVE-2025-8356, оценена в 9.8 (критический уровень). Эта ошибка типа «обход каталога» (path traversal) может привести к удаленному выполнению произвольного кода (RCE) на сервере, где установлено ПО FreeFlow Core.
Аналитики из компании , изучившие проблемы безопасности в продукте Xerox, пришли к выводу о высоком риске их эксплуатации.
По их оценке, эти уязвимости «элементарны для эксплуатации». Это означает, что для их использования злоумышленникам не требуются глубокие технические знания или сложные инструменты, что значительно повышает вероятность атаки.
Эксперты предупреждают, что успешная эксплуатация этих брешей позволяет выполнять произвольные команды в системе, похищать конфиденциальные данные и осуществлять латеральное перемещение внутри корпоративной сети для дальнейшего развития атаки на другие ресурсы компании.
