CVE-2019-18223

ZOOM International Call Recording versão 6.3.1

A vulnerabilidade afeta o ZOOM International Call Recording, permitindo várias vulnerabilidades XSS armazenadas e autenticadas. Essas vulnerabilidades podem ser exploradas por meio de vários campos em diferentes formulários, incluindo o campo phoneNumber no formulário Editar Usuário ou Adicionar Usuário, o campo name no formulário Adicionar Função, o campo name ou number no formulário Editar Grupo, o campo tagKey ou tagValue na Configuração de Regras de Gravação, ou o campo txt 69735:/ VemailAddress/value ou txt 75767:/VemailFrom/value no callrec/config.

Para a versão 6.3.1 do ZOOM International Call Recording, considere desativar os campos vulneráveis, como phoneNumber, name, number, tagKey, tagValue, txt 69735:/VemailAddress/value e txt 75767:/VemailFrom/value, em seus respectivos formulários até que uma correção esteja disponível. Restrinja o acesso aos formulários Edição de Usuário, Adição de Usuário, Adição de Função, Edição de Grupo e Configuração de Regras de Gravação para minimizar o risco de exploração. Evite usar os campos vulneráveis na seção callrec/config até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.