Resumo
A Zoom publicou um boletim sobre uma vulnerabilidade crítica de injeção de comandos em seus módulos Node Multimedia Router (MMR) que pode levar a execução remota de código. O problema foi rastreado como CVE‑2026‑22844 e recebeu pontuação CVSS 9.9.
Alcance e impacto
A falha afeta versões do Zoom Node MMR anteriores à 5.2.1716.0 e incide sobre ambientes Zoom Node Meetings Hybrid (ZMH) e Meeting Connector (MC). A exploração requer apenas acesso à rede e privilégios de participante de reunião — não há necessidade de interação adicional do usuário para exploração bem‑sucedida.
Caracterização técnica
O vetor é de rede com complexidade baixa e privilégio requerido baixo (PR:L), sem interação (UI:N). O boletim da Zoom (ZSB‑26001) descreve o bug como injeção de comandos, com impacto abrangente em confidencialidade, integridade e disponibilidade (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Mitigações e ações recomendadas
A Zoom recomenda atualização imediata dos módulos MMR para a versão 5.2.1716.0 ou superior. A empresa publicou orientações de gerenciamento de atualizações para administradores, incluindo procedimentos para identificação da versão e aplicação dos patches. Administradores de ambientes Zoom Node devem priorizar essa correção como crítica.
Observações operacionais
Dada a facilidade de exploração (acesso de rede e privilégios de participante), o risco prático em ambientes com deploys de MMR é elevado. Organizações com infraestrutura Zoom Node devem verificar versões e aplicar patches sem atraso, seguindo as instruções oficiais da Zoom.
Fonte: boletim da Zoom e cobertura no Cyber Security News.