أصدرت شركتا Zoom وXerox تحديثات أمنية لمعالجة ثغرات خطيرة في منتجاتهما، يمكن استغلالها لتنفيذ أوامر عن بُعد أو تصعيد الصلاحيات على الأنظمة المستهدفة.
في حالة Zoom، الثغرة المسجلة بالمعرف CVE-2025-49457 وبدرجة خطورة 9.6، تتعلق باستخدام مسار بحث غير موثوق في بعض إصدارات Zoom لبيئة ويندوز، ما قد يمكن مهاجما غير مصادق من تنفيذ تصعيد للصلاحيات عبر الوصول الشبكي. وأوضحت الشركة أن الثغرة أبلغت عنها فرق الأمن الهجومي الداخلية، وهي تؤثر على:
- Zoom Workplace for Windows قبل الإصدار 6.3.10
- Zoom Workplace VDI for Windows قبل الإصدار 6.3.10 (باستثناء 6.1.16 و6.2.12)
- Zoom Rooms for Windows قبل الإصدار 6.3.10
- Zoom Rooms Controller for Windows قبل الإصدار 6.3.10
- Zoom Meeting SDK for Windows قبل الإصدار 6.3.10
أما بالنسبة لـ Xerox، فقد تمت معالجة عدة ثغرات في FreeFlow Core بالإصدار 8.0.4، أخطرها:
- CVE-2025-8355 (درجة 7.5): ثغرة حقن كيان XML خارجي (XXE) قد تؤدي إلى تنفيذ طلبات من جانب الخادم (SSRF).
- CVE-2025-8356 (درجة 9.8): ثغرة اجتياز المسارات (Path Traversal) قد تتيح تنفيذ أوامر عن بُعد.
وأشارت شركة Horizon3.ai إلى أن هذه الثغرات يسهل استغلالها، وقد تمكن المهاجم من تنفيذ أوامر عشوائية على النظام المستهدف، أو سرقة بيانات حساسة، أو التحرك جانبيا داخل بيئة المؤسسة لمواصلة الهجوم.
