Zoom y GitLab han lanzado actualizaciones de seguridad para abordar una serie de vulnerabilidades que podrían provocar denegación de servicio (DoS) y ejecución remota de código.
La más grave de ellas es una vulnerabilidad crítica en los enrutadores multimedia Zoom Node (MMR) que podría permitir que un participante de una reunión realice ataques de ejecución remota de código. La vulnerabilidad, rastreada como CVE-2026-22844 y descubierto internamente por su equipo de seguridad ofensiva, tiene una puntuación CVSS de 9,9 sobre 10,0.
“Una vulnerabilidad de inyección de comandos en los enrutadores multimedia Zoom Node (MMR) anteriores a la versión 5.2.1716.0 puede permitir que un participante de una reunión realice la ejecución remota de código del MMR a través del acceso a la red”, señaló la compañía en una alerta el martes.
Zoom recomienda que los clientes que utilizan implementaciones de Zoom Node Meetings, Hybrid o Meeting Connector actualicen a la última versión de MMR disponible para protegerse contra posibles amenazas.
No hay pruebas de que se haya aprovechado la vulnerabilidad. La vulnerabilidad afecta a las siguientes versiones:
- Versiones del módulo MMR Zoom Node Meetings Hybrid (ZMH) anteriores a 5.2.1716.0
- Versiones del módulo MMR de Zoom Node Meeting Connector (MC) anteriores a 5.2.1716.0
GitLab lanza parches para errores graves
La divulgación se produce cuando GitLab ha publicado correcciones para varios errores graves en Community Edition (CE) y Enterprise Edition (EE) que podrían provocar DoS y evitar la protección de autenticación de dos factores (2FA). Los defectos se enumeran a continuación:
- CVE-2025-13927 (Puntuación CVSS: 7,5): una vulnerabilidad que podría permitir a un usuario no autenticado crear una condición DoS enviando solicitudes diseñadas con credenciales de autenticación incorrectas (afecta a todas las versiones de 11.9 anteriores a 18.6.4, 18.7 anteriores a 18.7.2 y 18.8 anteriores a 18.8.2).
- CVE-2025-13928 (Puntuación CVSS: 7,5): una vulnerabilidad de autorización errónea en la API de versiones que podría permitir que un usuario no autenticado cause una condición DoS (afecta a todas las versiones de 17.7 anteriores a 18.6.4, 18.7 anteriores a 18.7.2 y 18.8 anteriores a 18.8.2).
- CVE-2026-0723 (Puntuación CVSS: 7.4): una vulnerabilidad que podría permitir que alguien con conocimiento existente de la ID de credencial de una víctima omita 2FA enviando respuestas de dispositivos falsificadas (afecta a todas las versiones de 18.6 anteriores a 18.6.4, 18.7 anteriores a 18.7.2 y 18.8 anteriores a 18.8.2).
GitLab también corrigió dos errores adicionales de gravedad media que también podrían desencadenar una condición DoS (CVE-2025-13335, puntuación CVSS: 6.5 y CVE-2026-1102, puntuación CVSS: 5.3), al configurar documentos wiki incorrectos que omiten la detección de ciclos y envían repetidas solicitudes de autenticación SSH incorrectas, respectivamente.
About The Author
