Zoom và GitLab đã phát hành các bản cập nhật bảo mật để khắc phục một số lỗ hổng bảo mật có thể dẫn đến tấn công từ chối dịch vụ (DoS) và thực thi mã từ xa (RCE).
Trong số các lỗ hổng, nghiêm trọng nhất là một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Zoom Node Multimedia Routers (MMRs) có thể cho phép người tham gia cuộc họp thực hiện các cuộc tấn công thực thi mã từ xa. Lỗ hổng này, được theo dõi với mã CVE-2026-22844 và được nhóm Offensive Security của chính công ty phát hiện nội bộ, có điểm CVSS là 9.9 trên 10.0.
"Một lỗ hổng command injection trong Zoom Node Multimedia Routers (MMRs) trước phiên bản 5.2.1716.0 có thể cho phép người tham gia cuộc họp thực hiện thực thi mã từ xa trên MMR thông qua truy cập mạng," công ty lưu ý trong một cảnh báo vào thứ Ba.
Zoom khuyến nghị khách hàng đang sử dụng triển khai Zoom Node Meetings, Hybrid, hoặc Meeting Connector nên cập nhật lên phiên bản MMR mới nhất để bảo vệ khỏi mọi mối đe dọa tiềm ẩn.
Không có bằng chứng nào cho thấy lỗ hổng bảo mật này đã bị khai thác trên thực tế. Lỗ hổng ảnh hưởng đến các phiên bản sau -
- Các phiên bản mô-đun Zoom Node Meetings Hybrid (ZMH) MMR trước 5.2.1716.0
- Các phiên bản mô-đun Zoom Node Meeting Connector (MC) MMR trước 5.2.1716.0
GitLab Phát Hành Bản Vá Lỗi Nghiêm Trọng
Thông báo này được đưa ra khi GitLab đã phát hành các bản vá cho nhiều lỗ hổng nghiêm trọng ảnh hưởng đến các phiên bản Community Edition (CE) và Enterprise Edition (EE) của mình, có thể dẫn đến DoS và bỏ qua các biện pháp bảo vệ xác thực hai yếu tố (2FA). Các lỗ hổng này được liệt kê dưới đây -
- CVE-2025-13927 (điểm CVSS: 7.5) - Một lỗ hổng có thể cho phép người dùng chưa xác thực tạo ra điều kiện DoS bằng cách gửi các yêu cầu giả mạo với dữ liệu xác thực bị lỗi (Ảnh hưởng đến tất cả các phiên bản từ 11.9 trước 18.6.4, 18.7 trước 18.7.2 và 18.8 trước 18.8.2)
- CVE-2025-13928 (điểm CVSS: 7.5) - Một lỗ hổng ủy quyền không chính xác trong Releases API có thể cho phép người dùng chưa xác thực gây ra điều kiện DoS (Ảnh hưởng đến tất cả các phiên bản từ 17.7 trước 18.6.4, 18.7 trước 18.7.2 và 18.8 trước 18.8.2)
- CVE-2026-0723 (điểm CVSS: 7.4) - Một lỗ hổng có thể cho phép một cá nhân có sẵn thông tin về ID thông tin đăng nhập của nạn nhân bỏ qua 2FA bằng cách gửi các phản hồi thiết bị giả mạo (Ảnh hưởng đến tất cả các phiên bản từ 18.6 trước 18.6.4, 18.7 trước 18.7.2 và 18.8 trước 18.8.2)
GitLab cũng đã khắc phục hai lỗi mức độ trung bình khác cũng có thể gây ra điều kiện DoS (CVE-2025-13335, điểm CVSS: 6.5 và CVE-2026-1102, điểm CVSS: 5.3) bằng cách cấu hình các tài liệu Wiki bị lỗi bỏ qua phát hiện chu kỳ và gửi lặp lại các yêu cầu xác thực SSH bị lỗi, tương ứng.
