Zoom y GitLab han lanzado actualizaciones de seguridad para resolver una serie de vulnerabilidades de seguridad que podrían provocar denegación de servicio (DoS) y ejecución remota de código.
El más grave de todos es un fallo de seguridad crítico que afecta a los enrutadores multimedia Zoom Node (MMR) y que podría permitir a un participante de una reunión realizar ataques de ejecución remota de código. La vulnerabilidad, rastreada como CVE-2026-22844 y descubierto internamente por su equipo de Seguridad Ofensiva, tiene una puntuación CVSS de 9,9 sobre 10,0.
«Una vulnerabilidad de inyección de comandos en los enrutadores multimedia Zoom Node (MMR) anteriores a la versión 5.2.1716.0 puede permitir que un participante de la reunión realice la ejecución remota de código del MMR a través del acceso a la red», dijo la compañía. anotado en una alerta del martes.
Zoom recomienda que los clientes que utilizan implementaciones de Zoom Node Meetings, Hybrid o Meeting Connector actualicen a la última versión de MMR disponible para protegerse contra cualquier amenaza potencial.
No hay evidencia de que la falla de seguridad haya sido explotada de manera natural. La vulnerabilidad afecta a las siguientes versiones:
- Versiones del módulo MMR Zoom Node Meetings Hybrid (ZMH) anteriores a 5.2.1716.0
- Versiones del módulo MMR de Zoom Node Meeting Connector (MC) anteriores a 5.2.1716.0
GitLab lanza parches para fallas graves
La divulgación viene como GitLab. liberado corrige múltiples fallas de alta gravedad que afectan su Community Edition (CE) y Enterprise Edition (EE) que podrían resultar en DoS y una omisión de las protecciones de autenticación de dos factores (2FA). Las deficiencias se enumeran a continuación:
- CVE-2025-13927 (Puntuación CVSS: 7,5): una vulnerabilidad que podría permitir a un usuario no autenticado crear una condición DoS enviando solicitudes diseñadas con datos de autenticación mal formados (Afecta a todas las versiones desde 11.9 antes de 18.6.4, 18.7 antes de 18.7.2 y 18.8 antes de 18.8.2).
- CVE-2025-13928 (Puntuación CVSS: 7,5): una vulnerabilidad de autorización incorrecta en la API de versiones que podría permitir que un usuario no autenticado cause una condición DoS (Afecta a todas las versiones desde 17.7 antes de 18.6.4, 18.7 antes de 18.7.2 y 18.8 antes de 18.8.2)
- CVE-2026-0723 (Puntuación CVSS: 7,4): una vulnerabilidad que podría permitir que una persona con conocimiento existente de la ID de credencial de una víctima omita 2FA enviando respuestas de dispositivo falsificadas (Afecta a todas las versiones desde 18.6 antes de 18.6.4, 18.7 antes de 18.7.2 y 18.8 antes de 18.8.2).
GitLab también solucionó otros dos errores de gravedad media que también podrían desencadenar una condición DoS (CVE-2025-13335, puntuación CVSS: 6,5 y CVE-2026-1102, puntuación CVSS: 5,3) mediante la configuración de documentos Wiki con formato incorrecto que omiten la detección de ciclos y envían solicitudes repetidas de autenticación SSH con formato incorrecto, respectivamente.
Fuente