Zoom Node Multimedya Yönlendiricilerinde (MMR’ler) kritik bir komut ekleme güvenlik açığı açıklandı ve potansiyel olarak toplantı katılımcılarının savunmasız sistemlerde rastgele kod çalıştırmasına izin verildi.
Kusur, Zoom Node Meetings Karma ve Toplantı Bağlayıcı dağıtımlarını etkileyerek kurumsal ortamlar genelinde anında yama uygulanmasını gerektiriyor.
Güvenlik Açığı Genel Bakış
Zoom Offensive Security, Zoom Node MMR dağıtımlarında ağ erişimi yoluyla uzaktan kod yürütülmesine (RCE) olanak tanıyan bir komut ekleme hatası tespit etti.
Güvenlik açığı, CVSS v3.1 puanı 9,9’dur; bu, saldırı için minimum engel ile ciddi düzeyde istismar edilebilirliğe işaret etmektedir.
Saldırı karmaşıklığının düşük olması ve ağ üzerinden erişilebilen saldırı vektörü, bu güvenlik açığını Zoom altyapısına yönelik açıklanan en kritik tehditler arasına yerleştiriyor.
| Parametre | Değer |
|---|---|
| CVE Kimliği | CVE-2026-22844 |
| CVSS Puanı | 9.9 (Kritik) |
| CVSS vektör | CVSS:3.1/AV:N/AC:L/UI:N/UI:C:H/I:H/A:H/A:H |
| Saldırı Vektörü | Ağ |
Komut ekleme güvenlik açığı aşağıdaki Yakınlaştırma Düğümü dağıtımlarını etkiler:
- Yakınlaştırma Düğümü Toplantıları Karma (ZMH) – 5.2.1716.0’dan önceki MMR modülü sürümleri
- Yakınlaştırma Düğümü Toplantı Bağlayıcısı (MC) – 5.2.1716.0’dan önceki MMR modülü sürümleri
Bu sürümleri çalıştıran herhangi bir kuruluş, kimliği doğrulanmış toplantı katılımcıları tarafından yetkisiz kod yürütülmesi riskiyle karşı karşıya kalır.
Zoom, etkilenen tüm dağıtımlar için hemen eylem yapılmasını önerir. Yöneticiler, güvenlik açığını ortadan kaldırmak için MMR modüllerini 5.2.1716.0 sürümüne veya sonraki bir sürüme güncellemeye öncelik vermelidir.
Kuruluşlar, güncellemeleri hibrid ve bağlayıcı dağıtımlarında hizmet kesintisi olmadan güvenli bir şekilde dağıtmak için adım adım prosedürler sağlayan Zoom Node güncellemelerini yönetme hakkındaki Zoom’un resmi destek belgelerine başvurarak yama uygulamayı başlatabilir.
Komut ekleme güvenlik açığı, kurumsal iletişim altyapısı için önemli bir risk oluşturmaktadır.
Gizlilik, bütünlük ve kullanılabilirlik açısından yüksek saldırı etkisine sahip olan başarılı bir istismar, kritik iş iletişimlerini etkileyen veri sızıntısına, toplantı manipülasyonuna veya hizmet reddine yol açabilir.
Güvenlik ekipleri bunu kritik öncelikli bir yama olarak sınıflandırmalı ve etkilenen tüm Zoom Node ortamlarında anında güncellemeler planlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.