Zoom ha alertado sobre una vulnerabilidad de seguridad crítica que afecta a varias de sus aplicaciones para Windows. Esta falla, identificada como CVE-2025-49457, tiene una puntuación de 9,6 en la escala CVSS, lo que la clasifica como de alto riesgo por su potencial impacto en la confidencialidad, integridad y disponibilidad de los sistemas.
La vulnerabilidad surge de una ruta de búsqueda no segura, lo que permite a un atacante no autenticado explotar la falla a través de una red. Para ello, solo se necesita que el usuario interactúe con un elemento malicioso, como un enlace o un archivo infectado. La cadena de ataque no requiere privilegios elevados y es de baja complejidad, lo que aumenta el riesgo de robo de datos, manipulación del sistema o control total de la computadora.
Los productos afectados son los clientes de Zoom para Windows que se encuentren en versiones anteriores a la 6.3.10, incluyendo Zoom Workplace, Zoom Workplace VDI, Zoom Rooms, Zoom Rooms Controller y Zoom Meeting SDK. Se recomienda a los usuarios de estas versiones que actualicen de inmediato sus aplicaciones para mitigar el riesgo.
Implicaciones de la Vulnerabilidad
Esta vulnerabilidad, descubierta por el equipo de seguridad de Zoom, pone de manifiesto los desafíos actuales en la seguridad de software, especialmente en la forma en que se manejan las rutas de búsqueda en entornos Windows. Las aplicaciones con rutas de búsqueda no seguras pueden cargar archivos desde directorios no fiables, lo que permite a los atacantes inyectar archivos maliciosos (como DLLs o ejecutables) y escalar sus privilegios.
Las consecuencias de esta falla son significativas para la gran base de usuarios de Zoom, incluyendo empresas y centros educativos. Con la prevalencia del trabajo remoto en 2025, una falla de este tipo podría llevar a violaciones de seguridad a gran escala y minar la confianza en las plataformas de videoconferencia.
Zoom ha respondido con rapidez, instando a los usuarios a descargar las actualizaciones más recientes desde su sitio web oficial. Además, ha recomendado a los usuarios habilitar las actualizaciones automáticas, utilizar software antivirus y evitar hacer clic en enlaces sospechosos. Este incidente resalta la importancia de la seguridad proactiva, ya que la vigilancia y las actualizaciones periódicas son las defensas más efectivas contra las amenazas cibernéticas.
