CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 0CVE-2021-34418 – Pre-auth Null pointer crash in on-premise web console
https://notcve.org/view.php?id=CVE-2021-34418
The login routine of the web console in the Zoom On-Premise Meeting Connector before version 4.6.239.20200613, Zoom On-Premise Meeting Connector MMR before version 4.6.239.20200613, Zoom On-Premise Recording Connector before version 3.8.42.20200905, Zoom On-Premise Virtual Room Connector before version 4.4.6344.20200612, and Zoom On-Premise Virtual Room Connector Load Balancer before version 2.5.5492.20200616 fails to validate that a NULL byte was sent while authenticating. This could lead to a crash of the login service. La rutina de inicio de sesión de la consola web en Zoom On-Premise Meeting Connector versiones anteriores a 4.6.239.20200613, Zoom On-Premise Meeting Connector MMR versiones anteriores a 4.6.239.20200613, Zoom On-Premise Recording Connector versiones anteriores a 3.8.42. 20200905, Zoom On-Premise Virtual Room Connector versiones anteriores a 4.4.6344.20200612 y Zoom On-Premise Virtual Room Connector Load Balancer versiones anteriores a 2.5.5492.20200616, no comprueban que se haya enviado un byte NULL mientras se autentican. Esto podría conllevar un fallo en el servicio de inicio de sesión • https://explore.zoom.us/en/trust/security/security-bulletin • CWE-476: NULL Pointer Dereference •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-34419 – HTML injection in Zoom Linux client
https://notcve.org/view.php?id=CVE-2021-34419
In the Zoom Client for Meetings for Ubuntu Linux before version 5.1.0, there is an HTML injection flaw when sending a remote control request to a user in the process of in-meeting screen sharing. This could allow meeting participants to be targeted for social engineering attacks. En Zoom Client for Meetings para Ubuntu Linux versiones anteriores a 5.1.0, se presenta un fallo de inyección de HTML cuando es enviada una petición de control remoto a un usuario en el proceso de compartir la pantalla en una reunión. Esto podría permitir que participantes en la reunión sean objeto de ataques de ingeniería social • https://explore.zoom.us/en/trust/security/security-bulletin • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-34420 – Zoom Windows installation executable signature bypass
https://notcve.org/view.php?id=CVE-2021-34420
The Zoom Client for Meetings for Windows installer before version 5.5.4 does not properly verify the signature of files with .msi, .ps1, and .bat extensions. This could lead to a malicious actor installing malicious software on a customer’s computer. El instalador de Zoom Client for Meetings para Windows anterior a la versión 5.5.4 no verifica correctamente la firma de los archivos con extensiones .msi, .ps1 y .bat. Esto podría dar lugar a que un actor malintencionado instalara software malicioso en el ordenador de un cliente • https://explore.zoom.us/en/trust/security/security-bulletin https://medium.com/manomano-tech/a-red-team-operation-leveraging-a-zero-day-vulnerability-in-zoom-80f57fb0822e • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-34413
https://notcve.org/view.php?id=CVE-2021-34413
All versions of the Zoom Plugin for Microsoft Outlook for MacOS before 5.3.52553.0918 contain a Time-of-check Time-of-use (TOC/TOU) vulnerability during the plugin installation process. This could allow a standard user to write their own malicious application to the plugin directory, allowing the malicious application to execute in a privileged context. Todas las versiones de Zoom Plugin for Microsoft Outlook para MacOS anteriores a 5.3.52553.0918, contienen una vulnerabilidad de tipo Time-of-check Time-of-use (TOC/TOU) durante el proceso de instalación del plugin. Esto podría permitir a un usuario estándar escribir su propia aplicación maliciosa en el directorio del plugin, permitiendo que la aplicación maliciosa se ejecute en un contexto privilegiado • https://explore.zoom.us/en/trust/security/security-bulletin • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-34410
https://notcve.org/view.php?id=CVE-2021-34410
A user-writable application bundle unpacked during the install for all versions of the Zoom Plugin for Microsoft Outlook for Mac before 5.0.25611.0521 allows for privilege escalation to root. Un paquete de aplicaciones escribible por el usuario que se desempaqueta durante la instalación para todas las versiones de Zoom Plugin para Microsoft Outlook para Mac versiones anteriores a 5.0.25611.0521, permite una elevación de privilegios a root • https://explore.zoom.us/en/trust/security/security-bulletin • CWE-732: Incorrect Permission Assignment for Critical Resource •