はじめに

ZoomとGitLabは、サービス拒否（DoS）やリモートコード実行（RCE）、二要素認証（2FA）バイパスにつながる可能性のある複数のセキュリティ脆弱性に対処するため、セキュリティアップデートをリリースしました。

Zoomの重要なRCE脆弱性

Zoomが公開した情報によると、Zoom Node Multimedia Routers（MMRs）に極めて重大なRCE脆弱性（CVE-2026-22844）が発見されました。この脆弱性はCVSSスコアが9.9/10.0と評価されており、会議参加者がネットワークアクセスを介してMMR上でリモートコード実行を可能にするコマンドインジェクションの欠陥です。

この脆弱性の影響を受けるバージョンは以下の通りです。

• Zoom Node Meetings Hybrid (ZMH) MMRモジュールのバージョン5.2.1716.0より前のもの
• Zoom Node Meeting Connector (MC) MMRモジュールのバージョン5.2.1716.0より前のもの

Zoomは、Zoom Node Meetings、Hybrid、Meeting Connectorの展開を使用している顧客に対し、最新のMMRバージョンに更新することを強く推奨しています。現在のところ、このセキュリティ欠陥が悪用されたという証拠はありません。

GitLabの深刻な脆弱性に対するパッチ

一方、GitLabもCommunity Edition（CE）およびEnterprise Edition（EE）に影響を与える複数の高 severityの脆弱性に対する修正パッチをリリースしました。これらの脆弱性は、サービス拒否（DoS）状態や二要素認証（2FA）保護のバイパスにつながる可能性がありました。

主な脆弱性は以下の通りです。

• CVE-2025-13927（CVSSスコア: 7.5）: 認証されていないユーザーが悪意のある認証データを含むリクエストを送信することでDoS状態を引き起こす可能性のある脆弱性。
• CVE-2025-13928（CVSSスコア: 7.5）: Releases APIにおける不適切な認証の脆弱性で、認証されていないユーザーがDoS状態を引き起こす可能性。
• CVE-2026-0723（CVSSスコア: 7.4）: 既存の資格情報IDを知る人物が、偽造されたデバイス応答を送信することで2FAをバイパスできる可能性のある脆弱性。

さらに、GitLabは2つの中 severityのバグも修正しました。これらは、不正なWikiドキュメントの設定や、繰り返しの不正なSSH認証リクエストによって、DoS状態を引き起こす可能性のあるものでした。

推奨される対策

両社からの発表は、サイバーセキュリティの脅威が継続的に進化していることを示しています。ユーザーは、提供されたセキュリティアップデートを速やかに適用し、システムを最新の状態に保つことが極めて重要です。

---

元記事: https://thehackernews.com/2026/01/zoom-and-gitlab-release-security.html