Исследователи из отдела наступательной безопасности (Offensive Security) компании Zoom раскрыли критическую уязвимость внедрения команд в мультимедийных маршрутизаторах (MMR) платформы Zoom Node. Уязвимость, получившая идентификатор CVE-2026-22844, позволяет авторизованным участникам собраний выполнять произвольный код на уязвимых системах, представляя серьёзную угрозу для корпоративной инфраструктуры.
Детали уязвимости
Данная проблема затрагивает два ключевых корпоративных решения: Zoom Node Meetings Hybrid (ZMH) и Zoom Node Meeting Connector (MC). Уязвимость присутствует в модулях MMR версий, предшествующих 5.2.1716.0. Поскольку атака возможна через сеть и имеет низкую сложность реализации, ей присвоена высокая базовая оценка CVSS v3.1 - 9.9 баллов. Следовательно, злоумышленнику, уже имеющему доступ к встрече в качестве участника, относительно просто запустить произвольный вредоносный код на системе.
Эксплуатация этой уязвимости несёт катастрофические последствия для конфиденциальности, целостности и доступности данных. В частности, успешная атака может привести к краже конфиденциальной информации, обсуждаемой на совещаниях, полному контролю над ходом видеоконференции или к отказу в обслуживании, парализовавшему критически важные бизнес-коммуникации. Таким образом, риски выходят далеко за рамки отдельной встречи, угрожая безопасности всей организации.
Компания Zoom настоятельно рекомендует всем клиентам, использующим затронутые продукты, немедленно применить обновления. Для устранения уязвимости необходимо обновить модули MMR до версии 5.2.1716.0 или более поздней. Процесс обновления детально описан в официальной документации Zoom по управлению обновлениями для Zoom Node. Данное руководство содержит пошаговые инструкции, позволяющие развернуть патчи в гибридных и соединительных развёртываниях без перерыва в обслуживании.
Исправление должно быть классифицировано командами информационной безопасности как задача критического приоритета. Крайне важно запланировать и выполнить установку обновлений во всех потенциально уязвимых средах Zoom Node без задержек. Промедление с установкой патча оставляет корпоративные сети открытыми для атак, которые могут привести к значительным финансовым и репутационным потерям.
В заключение, данная уязвимость подчёркивает необходимость строгого соблюдения политик своевременного обновления корпоративного программного обеспечения, особенно в критически важных компонентах инфраструктуры, таких как системы видеоконференцсвязи. Регулярный аудит используемых версий и оперативное применение исправлений безопасности остаются основными мерами защиты от подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22844
- https://www.zoom.com/en/trust/security-bulletin/zsb-26001/
