Punteggio di gravità: 9,8 su 10. Nessun accesso fisico richiesto, nessuna autenticazione necessaria. Un hacker può prendere il controllo dell’account Zoom tramite Internet, senza toccare il computer, senza conoscere la propria password, e senza fare nulla.
Questa settimana Zoom ha corretto con un aggiornamento urgente la vulnerabilità CVE-2026-53412. Secondo l’azienda, il problema è legato a un’errata validazione dei dati in ingresso e, se sfruttato con successo, può portare al controllo completo dell’account della vittima. I dettagli tecnici non sono stati resi pubblici per ridurre il rischio di attacchi prima che gli utenti installino l’aggiornamento.
È probabilmente la vulnerabilità più grave che Zoom ha dovuto affrontare di recente.
Bisogna aggiornare subito l’app di Zoom per evitare il furto dell’account
L’applicazione non verifica correttamente i dati prima di elaborarli. Invece di assicurarsi che l’input corrisponda al formato, tipo, dimensione o intervallo previsti, accetta dati imprevisti o malevoli che possono alterare il comportamento del software. L’input può provenire da utenti, file, traffico di rete, API o altri componenti software.
A seconda di come l’applicazione gestisce i dati, la validazione impropria può portare a bypass dell’autenticazione, escalation dei privilegi o esecuzione remota di codice, e quindi al furto dell’account via Internet.
Le versio>ni interessate
Zoom Workplace per Windows prima della versione 7.0.0. Zoom Workplace VDI Client per Windows prima delle versioni 7.0.10, 6.6.15 e 6.5.18 nei rispettivi rami. Zoom Meeting SDK per Windows prima della versione 7.0.0.
Come proteggersi
La soluzione è aggiornare immediatamente Zoom all’ultima versione disponibile. Negli ambienti aziendali è importante aggiornare anche la distribuzione centralizzata del software, per evitare che una versione vulnerabile venga reinstallata automaticamente nei successivi cicli di distribuzione. L’advisory ufficiale è disponibile come ZSB-26014 nel portale Zoom Security Bulletin. Considerato il punteggio CVSS di 9,8 su 10, l’aggiornamento dovrebbe avere la massima priorità.