Компании Zoom и GitLab выпустили критически важные обновления безопасности для устранения множественных уязвимостей, которые несут риски удаленного выполнения кода (RCE), отказа в обслуживании (DoS) и обхода двухфакторной аутентификации (2FA). Наиболее серьезная угроза была обнаружена в программном обеспечении Zoom, получив практически максимальную оценку опасности. Обе компании настоятельно рекомендуют администраторам и пользователям применить соответствующие исправления для защиты своих инфраструктур от потенциальных атак.
Критическая уязвимость в Zoom, получившая идентификатор CVE-2026-22844, оценивается в 9,9 балла из 10 по шкале CVSS. Ошибка связана с возможностью внедрения команд, что позволяет участнику встречи удаленно выполнять произвольный код через сетевой доступ. Проблема затрагивает мультимедийные маршрутизаторы (MMR) Zoom Node, в частности модуль Zoom Node Meeting Connector (MC). Уязвимость была обнаружена внутренней командой наступательной безопасности Zoom (Offensive Security team) и объявлена в предупреждении, опубликованном во вторник.
Для устранения риска RCE в Zoom необходимо обновить мультимедийные маршрутизаторы Zoom Node до версий новее 5.2.1716.0, так как все предыдущие версии являются уязвимыми. Это касается клиентов, использующих развертывания Zoom Node Meetings, Hybrid или Meeting Connector. На данный момент доказательств эксплуатации данной ошибки в реальных условиях не обнаружено, однако, учитывая критический рейтинг угрозы, обновление является обязательным.
GitLab выпустил исправления для своих версий Community Edition (CE) и Enterprise Edition (EE), устраняя уязвимости высокой и средней степени тяжести. Первая ошибка высокой степени опасности (CVE-2025-13927) с оценкой 7,5 балла по CVSS позволяет неаутентифицированному пользователю вызвать состояние отказа в обслуживании (DoS) путем отправки специально созданных запросов с некорректными данными аутентификации. Эта проблема затрагивает версии с 11.9 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Вторая уязвимость высокой степени тяжести в GitLab (CVE-2025-13928), также оцененная в 7,5 балла, связана с некорректной авторизацией в API релизов (Releases API). Этот недостаток позволяет неаутентифицированному злоумышленнику спровоцировать отказ в обслуживании системы. Под угрозой находятся версии GitLab с 17.7 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Третья серьезная проблема в GitLab касается обхода двухфакторной аутентификации (CVE-2026-0723) и имеет рейтинг 7,4 балла. Уязвимость позволяет злоумышленнику, знающему идентификатор учетных данных (credential ID) жертвы, обойти защиту 2FA путем отправки поддельных ответов устройства. Данная брешь в безопасности присутствует в версиях с 18.6 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Кроме того, GitLab устранил две уязвимости средней степени тяжести, вызывающие отказ в обслуживании. Первая (CVE-2025-13335, оценка 6,5) возникает из-за некорректно сформированных документов Wiki, настроенных на обход обнаружения циклов. Вторая (CVE-2026-1102, оценка 5,3) связана с отправкой повторяющихся некорректных запросов аутентификации по протоколу SSH. Обновление программного обеспечения до последних версий устраняет все перечисленные риски.
Изображение носит иллюстративный характер
Критическая уязвимость в Zoom, получившая идентификатор CVE-2026-22844, оценивается в 9,9 балла из 10 по шкале CVSS. Ошибка связана с возможностью внедрения команд, что позволяет участнику встречи удаленно выполнять произвольный код через сетевой доступ. Проблема затрагивает мультимедийные маршрутизаторы (MMR) Zoom Node, в частности модуль Zoom Node Meeting Connector (MC). Уязвимость была обнаружена внутренней командой наступательной безопасности Zoom (Offensive Security team) и объявлена в предупреждении, опубликованном во вторник.
Для устранения риска RCE в Zoom необходимо обновить мультимедийные маршрутизаторы Zoom Node до версий новее 5.2.1716.0, так как все предыдущие версии являются уязвимыми. Это касается клиентов, использующих развертывания Zoom Node Meetings, Hybrid или Meeting Connector. На данный момент доказательств эксплуатации данной ошибки в реальных условиях не обнаружено, однако, учитывая критический рейтинг угрозы, обновление является обязательным.
GitLab выпустил исправления для своих версий Community Edition (CE) и Enterprise Edition (EE), устраняя уязвимости высокой и средней степени тяжести. Первая ошибка высокой степени опасности (CVE-2025-13927) с оценкой 7,5 балла по CVSS позволяет неаутентифицированному пользователю вызвать состояние отказа в обслуживании (DoS) путем отправки специально созданных запросов с некорректными данными аутентификации. Эта проблема затрагивает версии с 11.9 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Вторая уязвимость высокой степени тяжести в GitLab (CVE-2025-13928), также оцененная в 7,5 балла, связана с некорректной авторизацией в API релизов (Releases API). Этот недостаток позволяет неаутентифицированному злоумышленнику спровоцировать отказ в обслуживании системы. Под угрозой находятся версии GitLab с 17.7 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Третья серьезная проблема в GitLab касается обхода двухфакторной аутентификации (CVE-2026-0723) и имеет рейтинг 7,4 балла. Уязвимость позволяет злоумышленнику, знающему идентификатор учетных данных (credential ID) жертвы, обойти защиту 2FA путем отправки поддельных ответов устройства. Данная брешь в безопасности присутствует в версиях с 18.6 до 18.6.4, с 18.7 до 18.7.2 и с 18.8 до 18.8.2.
Кроме того, GitLab устранил две уязвимости средней степени тяжести, вызывающие отказ в обслуживании. Первая (CVE-2025-13335, оценка 6,5) возникает из-за некорректно сформированных документов Wiki, настроенных на обход обнаружения циклов. Вторая (CVE-2026-1102, оценка 5,3) связана с отправкой повторяющихся некорректных запросов аутентификации по протоколу SSH. Обновление программного обеспечения до последних версий устраняет все перечисленные риски.
