Tilkynnt var um alvarlega veikleika í Zoom forritum fyrir Windows og GitLab CE/EE sem geta leitt til hækkunar á réttindum, vefskriftu (e. XSS) og yfirtöku notendaaðganga. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfur þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Zoom Client fyrir Windows
Veikleikinn CVE-2025-49457 með CVSSv3 9.6 felst í því að óauðkenndur aðili getur nýtt óörugga leitarslóð (e. untrusted search path) til að hækka réttindi í gegnum netaðgang. Einnig hefur annar veikleiki, CVE-2025-49456 með CVSSv3 6.2, áhrif á uppsetningarferlið og getur haft áhrif á heilleika forritsins vegna keppnisskilyrða (e. race condition) [1,2,3].

GitLab CE/EE
Veikleikarnir CVE-2025-6186, CVE-2025-7734 og CVE-2025-7739 með CVSSv3 8.7 gera auðkenndum notendum kleift að framkvæma árásir með spilltu HTML innihaldi sem getur leitt til vefskriftu (e. stored XSS), aðgerða í umboði annarra og jafnvel yfirtöku aðgangs í ákveðnum tilfellum. Allir veikleikarnir hafa áhrif á útgáfur frá 14.2 og upp í 18.2 [4,5,6,7,8,9].

Tilvísanir

[1] Zoom bulletin ZSB-25030
[2] Zoom bulletin ZSB-25029
[3] NVD CVE-2025-49457
[4] GitLab issue #549844
[5] HackerOne report
[6] GitLab issue #556090
[7] HackerOne report
[8] GitLab issue #556111
[9] HackerOne report