Zoom和GitLab發(fā)布安全更新，修復(fù)遠(yuǎn)程代碼執(zhí)行等嚴(yán)重漏洞

Zoom和GitLab已發(fā)布安全更新，修復(fù)多個(gè)可能導(dǎo)致拒絕服務(wù)攻擊和遠(yuǎn)程代碼執(zhí)行的安全漏洞。

最嚴(yán)重漏洞影響Zoom節(jié)點(diǎn)多媒體路由器

其中最嚴(yán)重的是影響Zoom節(jié)點(diǎn)多媒體路由器（MMR）的關(guān)鍵安全漏洞，可能允許會(huì)議參與者進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊。該漏洞編號為CVE-2026-22844，由Zoom內(nèi)部攻擊安全團(tuán)隊(duì)發(fā)現(xiàn)，CVSS評分高達(dá)9.9分（滿分10分）。

"Zoom節(jié)點(diǎn)多媒體路由器5.2.1716.0版本之前存在命令注入漏洞，可能允許會(huì)議參與者通過網(wǎng)絡(luò)訪問對MMR進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊，"該公司在周二的安全警報(bào)中指出。

Zoom建議使用Zoom Node Meetings、Hybrid或Meeting Connector部署的客戶更新到最新的MMR版本，以防范潛在威脅。目前沒有證據(jù)表明該安全漏洞已被惡意利用。

該漏洞影響以下版本：

- 5.2.1716.0版本之前的Zoom Node Meetings Hybrid（ZMH）MMR模塊

- 5.2.1716.0版本之前的Zoom Node Meeting Connector（MC）MMR模塊

GitLab修復(fù)多個(gè)高危漏洞

同時(shí)，GitLab也發(fā)布了針對其社區(qū)版（CE）和企業(yè)版（EE）多個(gè)高危漏洞的修復(fù)程序，這些漏洞可能導(dǎo)致拒絕服務(wù)攻擊和雙因素認(rèn)證繞過。具體漏洞包括：

CVE-2025-13927（CVSS評分：7.5分）- 該漏洞可能允許未認(rèn)證用戶通過發(fā)送包含惡意認(rèn)證數(shù)據(jù)的精心構(gòu)造請求來創(chuàng)建拒絕服務(wù)條件。影響版本：11.9至18.6.4之前的所有版本、18.7至18.7.2之前版本，以及18.8至18.8.2之前版本。

CVE-2025-13928（CVSS評分：7.5分）- Releases API中的錯(cuò)誤授權(quán)漏洞，可能允許未認(rèn)證用戶造成拒絕服務(wù)條件。影響版本：17.7至18.6.4之前的所有版本、18.7至18.7.2之前版本，以及18.8至18.8.2之前版本。

CVE-2026-0723（CVSS評分：7.4分）- 該漏洞可能允許已知受害者憑據(jù)ID的個(gè)人通過提交偽造的設(shè)備響應(yīng)來繞過雙因素認(rèn)證。影響版本：18.6至18.6.4之前的所有版本、18.7至18.7.2之前版本，以及18.8至18.8.2之前版本。

GitLab還修復(fù)了另外兩個(gè)中等嚴(yán)重程度的漏洞，這些漏洞也可能觸發(fā)拒絕服務(wù)條件：CVE-2025-13335（CVSS評分：6.5分）和CVE-2026-1102（CVSS評分：5.3分），分別通過配置繞過循環(huán)檢測的惡意Wiki文檔和發(fā)送重復(fù)的惡意SSH認(rèn)證請求來實(shí)現(xiàn)攻擊。

Q&A

Q1：Zoom節(jié)點(diǎn)多媒體路由器漏洞有多嚴(yán)重？

A：這是一個(gè)關(guān)鍵級別的安全漏洞，編號CVE-2026-22844，CVSS評分高達(dá)9.9分。該漏洞可能允許會(huì)議參與者對多媒體路由器進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊，影響5.2.1716.0版本之前的所有MMR模塊。

Q2：GitLab的雙因素認(rèn)證繞過漏洞如何工作？

A：CVE-2026-0723漏洞允許已知受害者憑據(jù)ID的攻擊者通過提交偽造的設(shè)備響應(yīng)來繞過雙因素認(rèn)證保護(hù)，CVSS評分為7.4分，影響18.6到18.8.2之前的多個(gè)版本。

Q3：用戶應(yīng)該如何應(yīng)對這些安全漏洞？

A：Zoom用戶應(yīng)立即將節(jié)點(diǎn)多媒體路由器更新到5.2.1716.0或更新版本。GitLab用戶應(yīng)升級到18.6.4、18.7.2或18.8.2版本，具體取決于當(dāng)前使用的版本分支。