(https://i.imgur.com/SlmBVEX.jpeg)
Zoom y GitLab han publicado recientemente actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades de alta y crítica gravedad que podrían ser explotadas para provocar denegación de servicio (DoS), elusión de autenticación multifactor (2FA) e incluso ejecución remota de código (RCE) en entornos vulnerables. Estas fallas representan un riesgo significativo para organizaciones que dependen de estas plataformas en entornos corporativos, híbridos y de desarrollo colaborativo.
Vulnerabilidad crítica en Zoom MMR permite ejecución remota de códigoLa vulnerabilidad más grave identificada en este ciclo de parches afecta a los Zoom Node Multimedia Routers (MMR), un componente clave en las infraestructuras de Zoom utilizadas para optimizar el tráfico de reuniones en implementaciones locales e híbridas. El fallo de seguridad ha sido registrado como CVE-2026-22844 y cuenta con una puntuación CVSS de 9,9 sobre 10, lo que la sitúa en la categoría de vulnerabilidad crítica.
Según informó Zoom en su alerta de seguridad, el problema tiene su origen en una vulnerabilidad de inyección de comandos, que podría permitir que un participante de una reunión, con acceso a la red, ejecute código arbitrario de forma remota en el MMR afectado.
Citar"Una vulnerabilidad de inyección de comandos en los Zoom Node Multimedia Routers (MMR) anteriores a la versión 5.2.1716.0 podría permitir a un participante de la reunión realizar ejecución remota de código mediante acceso a la red", señaló la compañía.
Este tipo de vulnerabilidad es especialmente peligrosa, ya que abre la puerta a compromisos completos del sistema, permitiendo a un atacante ejecutar comandos con los privilegios del servicio afectado, pivotar dentro de la red o desplegar malware adicional.
Versiones afectadas y recomendaciones de mitigaciónZoom confirmó que el fallo afecta a los siguientes despliegues y versiones:
- Versiones del módulo MMR de Zoom Node Meetings Hybrid (ZMH) anteriores a la 5.2.1716.0
- Versiones del módulo MMR del Zoom Node Meeting Connector (MC) anteriores a la 5.2.1716.0
Aunque la compañía aseguró que no existen evidencias de explotación activa en el entorno real, recomienda encarecidamente a los clientes que utilicen Zoom Node Meetings, Hybrid o Meeting Connector que actualicen de inmediato a la versión más reciente disponible para reducir el riesgo de compromiso.
La detección temprana de esta vulnerabilidad por parte del equipo interno de Seguridad Ofensiva de Zoom pone de relieve la importancia de los programas de seguridad proactivos, aunque también subraya el impacto potencial que estas fallas pueden tener si son descubiertas por actores maliciosos.
GitLab publica parches para múltiples fallos de alta gravedadDe forma paralela, GitLab ha lanzado correcciones de seguridad que afectan tanto a su Community Edition (CE) como a la Enterprise Edition (EE). Las vulnerabilidades corregidas podrían permitir ataques de denegación de servicio, así como la elusión de la autenticación de dos factores (2FA), una de las capas de seguridad más críticas en entornos de desarrollo y DevOps.
Vulnerabilidades de alta gravedad corregidas por GitLabEntre los fallos más relevantes se encuentran los siguientes:
CVE-2025-13927 (CVSS: 7,5)Vulnerabilidad que permite a un usuario no autenticado provocar una condición de DoS mediante el envío de solicitudes con datos de autenticación malformados.
Versiones afectadas: todas las versiones desde la 11.9 hasta antes de 18.6.4, 18.7.2 y 18.8.2.
CVE-2025-13928 (CVSS: 7,5)Error de autorización incorrecta en la API de Releases, que podría ser explotado por un atacante no autenticado para causar una denegación de servicio.
Versiones afectadas: desde la 17.7 hasta antes de 18.6.4, 18.7.2 y 18.8.2.
CVE-2026-0723 (CVSS: 7,4)Vulnerabilidad especialmente preocupante que permite eludir la autenticación 2FA si el atacante conoce previamente el ID de credencial de la víctima, enviando respuestas falsificadas desde dispositivos.
Versiones afectadas: todas las versiones desde la 18.6 hasta antes de los parches mencionados.
Este último fallo destaca por su impacto potencial, ya que socava directamente los mecanismos de protección de acceso, exponiendo cuentas privilegiadas y repositorios sensibles.
Otros errores de gravedad media corregidosGitLab también solucionó dos vulnerabilidades adicionales de gravedad media que podrían derivar en condiciones de DoS:
- CVE-2025-13335 (CVSS: 6,5) – Manipulación de documentos Wiki malformados que eluden la detección de ciclos.
- CVE-2026-1102 (CVSS: 5,3) – Envío repetido de solicitudes de autenticación SSH malformadas.
Aunque estas fallas presentan un menor impacto individual, su explotación combinada podría facilitar ataques de agotamiento de recursos en servidores GitLab expuestos a Internet.
Actualización inmediata como prioridad de seguridadLa publicación de estas vulnerabilidades críticas en Zoom y GitLab refuerza la necesidad de mantener estrategias de gestión de parches sólidas y una monitorización continua de la superficie de ataque. La ejecución remota de código, la denegación de servicio y la elusión de 2FA siguen siendo vectores de ataque prioritarios para los actores maliciosos.
Las organizaciones que utilizan estas plataformas deben actualizar de inmediato, revisar sus configuraciones de red y reforzar los controles de acceso para minimizar riesgos. En un contexto de amenazas cada vez más sofisticadas, la rapidez en la aplicación de parches marca la diferencia entre la prevención y el compromiso.
Fuente: https://thehackernews.com/