CVSS 9.6 и 9.8 в одном выпуске: Zoom и Xerox чинят баги, открывавшие двери в корпоративные сети

Zoom устранила критическую уязвимость в своих клиентах для Windows, а Xerox выпустила исправления для опасных ошибок в системе FreeFlow Core. Обе проблемы могли дать злоумышленникам серьёзные возможности — от повышения привилегий до удалённого выполнения кода, создавая риск для корпоративных сетей и конфиденциальных данных.

В случае с Zoom речь идёт об уязвимости CVE-2025-49457 с CVSS-оценкой 9,6. Она связана с ненадёжным путём поиска , из-за чего неаутентифицированный атакующий мог через сетевой доступ получить повышенные права в системе. Обнаружила её внутренняя команда Offensive Security компании. Под угрозой находились Zoom Workplace, Zoom Workplace VDI, Zoom Rooms, Zoom Rooms Controller и Zoom Meeting SDK для Windows во всех версиях до 6.3.10, кроме отдельных сборок VDI (6.1.16 и 6.2.12).

Тем временем, в Xerox FreeFlow Core исправлены две уязвимости, закрытые в версии 8.0.4. Первая — CVE-2025-8355 (CVSS 7,5) — это XXE-инъекция, способная привести к серверной подделке запросов (SSRF). Она возникала из-за того, что модуль «jmfclient.jar», обрабатывающий сообщения JMF (Job Message Format) для управления печатными заданиями и их статуса, использовал XML-парсер без ограничений на работу с внешними сущностями. Это позволяло отправить специально сформированный запрос и инициировать SSRF-атаку.

Вторая уязвимость — CVE-2025-8356 (CVSS 9,8) — связана с некорректной обработкой JMF-команд, отвечающих за загрузку и обработку файлов. Ошибка позволяла выполнить обход каталогов и загрузить веб-оболочку в общедоступный каталог через специально сформированный HTTP-запрос. Хотя сервис на порту 4004 напрямую не мог отдать файл, основные веб-порталы продукта имели функционал, позволяющий выполнить и раздать вредоносный код.

По данным Horizon3.ai, обе ошибки легко эксплуатировать, что делало возможным кражу данных, выполнение произвольных команд и дальнейшее продвижение по сети для развития атаки.