Zoom en GitLab brengen beveiligingsupdates uit waarmee RCE-, DoS- en 2FA-bypassfouten worden verholpen

Cyberbeveiliging
Zoom en GitLab brengen beveiligingsupdates uit waarmee RCE-, DoS- en 2FA-bypassfouten worden verholpen

Zoom en GitLab hebben beveiligingsupdates uitgebracht om een ​​aantal beveiligingsproblemen op te lossen die kunnen leiden tot Denial-of-Service (DoS) en uitvoering van externe code.

De ernstigste van allemaal is een kritieke beveiligingsfout die van invloed is op Zoom Node Multimedia Routers (MMR’s), waardoor een deelnemer aan een vergadering op afstand aanvallen kan uitvoeren op het uitvoeren van code. De kwetsbaarheid, bijgehouden als CVE-2026-22844 en intern ontdekt door het Offensive Security-team, heeft een CVSS-score van 9,9 uit 10,0.

“Een kwetsbaarheid voor commando-injectie in Zoom Node Multimedia Routers (MMR’s) vóór versie 5.2.1716.0 kan een deelnemer aan de vergadering in staat stellen om op afstand code uit te voeren van de MMR via netwerktoegang”, merkte het bedrijf op in een waarschuwing van dinsdag.

Zoom raadt klanten die Zoom Node Meetings-, Hybride- of Meeting Connector-implementaties gebruiken aan om te updaten naar de nieuwste beschikbare MMR-versie om zich te beschermen tegen mogelijke bedreigingen.

Er is geen bewijs dat het beveiligingslek in het wild is uitgebuit. Het beveiligingslek treft de volgende versies:

  • Zoom Node Meetings Hybrid (ZMH) MMR-moduleversies vóór 5.2.1716.0
  • Zoom Node Meeting Connector (MC) MMR-moduleversies vóór 5.2.1716.0

GitLab brengt patches uit voor ernstige fouten

De onthulling komt op het moment dat GitLab oplossingen heeft uitgebracht voor meerdere ernstige fouten in de Community Edition (CE) en Enterprise Edition (EE) die zouden kunnen resulteren in DoS en het omzeilen van tweefactorauthenticatie (2FA). De tekortkomingen worden hieronder opgesomd –

  • CVE-2025-13927 (CVSS-score: 7,5) – Een kwetsbaarheid waardoor een niet-geverifieerde gebruiker een DoS-conditie kan creëren door vervaardigde verzoeken met onjuist opgemaakte authenticatiegegevens te verzenden (van invloed op alle versies van 11.9 vóór 18.6.4, 18.7 vóór 18.7.2 en 18.8 vóór 18.8.2)
  • CVE-2025-13928 (CVSS-score: 7,5) – Een onjuiste autorisatiekwetsbaarheid in de Releases API waardoor een niet-geverifieerde gebruiker een DoS-conditie kan veroorzaken (van invloed op alle versies van 17.7 vóór 18.6.4, 18.7 vóór 18.7.2 en 18.8 vóór 18.8.2)
  • CVE-2026-0723 (CVSS-score: 7,4) – Een kwetsbaarheid waardoor een persoon met bestaande kennis van de identificatie-ID van een slachtoffer 2FA kan omzeilen door vervalste apparaatreacties in te dienen (is van invloed op alle versies van 18.6 vóór 18.6.4, 18.7 vóór 18.7.2 en 18.8 vóór 18.8.2)

Ook verholpen door GitLab zijn twee andere bugs van gemiddelde ernst die ook een DoS-conditie kunnen activeren (CVE-2025-13335, CVSS-score: 6,5, en CVE-2026-1102, CVSS-score: 5,3) door respectievelijk verkeerd opgemaakte Wiki-documenten te configureren die cyclusdetectie omzeilen en herhaaldelijk verkeerd opgemaakte SSH-authenticatieverzoeken te verzenden.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

FTC wil nog een kans om Meta op te splitsen

Snap regelt verslavingszaak op sociale media vlak voor de rechtszaak

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]