Zoomの重大な脆弱性が判明

ZoomのNode Multimedia Routers (MMR) に、会議参加者が脆弱なシステム上で任意のコードを実行できてしまう重大なコマンドインジェクションの脆弱性が発見されました。この欠陥は、Zoom Node Meetings HybridおよびMeeting Connectorの展開に影響を及ぼし、エンタープライズ環境全体で緊急のパッチ適用が必要です。

Zoomのオフェンシブセキュリティチームが特定したこのコマンドインジェクションの脆弱性は、ネットワークアクセスを介したリモートコード実行（RCE）を可能にします。CVSS v3.1スコアは9.9と評価されており、攻撃の障壁が最小限で悪用可能性が高いことを示しています。攻撃の複雑性が低く、ネットワーク経由で攻撃が可能なため、Zoomインフラに対する最も重大な脅威の一つとして位置づけられています。

脆弱性の詳細

この脆弱性の主要な識別情報は以下の通りです。

• CVE ID: CVE-2026-22844
• CVSSスコア: 9.9 (Critical)
• CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
• 攻撃ベクトル: ネットワーク

対象製品と推奨される対策

コマンドインジェクションの脆弱性は、以下のZoom Node展開に影響を与えます。

• Zoom Node Meetings Hybrid (ZMH) – MMRモジュールバージョン 5.2.1716.0より前
• Zoom Node Meeting Connector (MC) – MMRモジュールバージョン 5.2.1716.0より前

これらのバージョンを運用している組織は、認証された会議参加者による不正なコード実行の即時リスクに直面しています。Zoomは、影響を受けるすべての展開に対し、直ちに対策を講じることを推奨しています。

管理者は、MMRモジュールをバージョン5.2.1716.0以降に更新して脆弱性を排除することを優先すべきです。組織は、Zoomの公式サポートドキュメント「Managing updates for Zoom Node」を参照し、サービスの中断なしにハイブリッドおよびコネクタ展開全体で安全に更新を展開するための詳細な手順を確認できます。

組織への影響と推奨事項

このコマンドインジェクションの脆弱性は、企業の通信インフラに重大なリスクをもたらします。機密性、完全性、可用性に対する攻撃の影響が大きいため、悪用が成功すれば、データ漏洩、会議の操作、または重要なビジネス通信に影響を与えるサービス拒否につながる可能性があります。

セキュリティチームは、これを最優先のパッチとして分類し、影響を受けるすべてのZoom Node環境で直ちに更新をスケジュールする必要があります。

---

元記事: https://gbhackers.com/critical-zoom-vulnerability-enables-remote-code-execution/