Atualizações reduzem risco em Zoom Node MMRs e em GitLab CE/EE, incluindo injeção de comandos em infraestrutura de reunião e falhas de negação de serviço em autenticação, API Releases, Wiki e SSH.
| Componente | Zoom Node Multimedia Routers (MMRs) em implantações Zoom Node Meetings Hybrid e Zoom Node Meeting Connector; GitLab Community Edition e Enterprise Edition. |
| Vetor | Participante de reunião com acesso de rede ao MMR no caso do Zoom; requisições criadas com dados de autenticação malformados, uso da API Releases, documentos Wiki malformados, requisições SSH malformadas repetidas e respostas de dispositivo forjadas no caso do GitLab. |
| Impacto | Execução remota de código no MMR afetado por CVE-2026-22844, condições de negação de serviço no GitLab e contorno de 2FA quando há conhecimento prévio do ID de credencial da vítima. |
| Prioridade | Atualizar Zoom MMR para 5.2.1716.0 ou posterior e GitLab CE/EE para versões corrigidas dos ramos 18.6, 18.7 e 18.8; revisar telemetria de autenticação, API, Wiki, SSH e reuniões. |
| Versões | Zoom Node Meetings Hybrid MMR e Zoom Node Meeting Connector MMR antes de 5.2.1716.0; GitLab de 11.9 antes de 18.6.4, 18.7 antes de 18.7.2 e 18.8 antes de 18.8.2 para CVE-2025-13927; de 17.7 antes dessas mesmas versões para CVE-2025-13928; de 18.6 antes de 18.6.4, 18.7 antes de 18.7.2 e 18.8 antes de 18.8.2 para CVE-2026-0723. |
| Artefatos | CVE-2026-22844, CVE-2025-13927, CVE-2025-13928, CVE-2026-0723, CVE-2025-13335 e CVE-2026-1102. |
Zoom e GitLab publicaram atualizações de segurança para corrigir vulnerabilidades com impacto direto sobre disponibilidade, autenticação e execução de código em componentes usados em ambientes corporativos. O caso de maior criticidade envolve o CVE-2026-22844, uma falha de injeção de comandos em Zoom Node Multimedia Routers, conhecidos como MMRs. A falha recebeu pontuação CVSS 9.9 e afeta módulos MMR anteriores à versão 5.2.1716.0 em implantações Zoom Node Meetings Hybrid e Zoom Node Meeting Connector. O cenário descrito exige que um participante de reunião tenha acesso de rede ao MMR, condição suficiente para transformar uma interação de reunião em superfície de execução remota de código no componente de roteamento multimídia.
No GitLab, as correções cobrem falhas de alta severidade em Community Edition e Enterprise Edition que permitem negação de serviço e um caso específico de contorno de autenticação de dois fatores. CVE-2025-13927 permite que um usuário não autenticado cause negação de serviço por meio de requisições criadas com dados de autenticação malformados. CVE-2025-13928 envolve autorização incorreta na API Releases e também pode levar a negação de serviço por usuário não autenticado. CVE-2026-0723 permite contornar 2FA quando o atacante já conhece o ID de credencial da vítima e submete respostas de dispositivo forjadas. O conjunto ainda inclui duas falhas médias de negação de serviço, CVE-2025-13335 e CVE-2026-1102, relacionadas respectivamente a documentos Wiki malformados que escapam da detecção de ciclos e a requisições SSH de autenticação malformadas e repetidas.
Não há indicação de exploração em ambiente real para a falha crítica do Zoom. Ainda assim, o risco operacional é alto porque MMRs ficam no caminho de mídia e controle de reuniões em implantações híbridas ou conectadas por Meeting Connector. Em GitLab, o impacto principal não é descrito como roubo de dados ou execução de código, mas como degradação de disponibilidade e enfraquecimento condicionado da autenticação forte. A resposta defensiva deve manter essa distinção: corrigir com urgência, procurar sinais de abuso nos pontos de entrada afetados e evitar inferir comprometimento de dados sem evidência nos logs e na investigação.
A vulnerabilidade do Zoom está descrita como injeção de comandos em MMRs antes da versão 5.2.1716.0. O componente afetado processa tráfego e funções associadas a reuniões em ambientes Zoom Node Meetings Hybrid e Meeting Connector. A condição relevante é a presença de um participante de reunião com acesso de rede ao MMR. A partir dessa posição, a falha pode permitir execução remota de código no MMR, o que torna o componente uma prioridade de atualização mesmo sem evidência pública de abuso. O contexto não informa payload, rota específica, tipo de comando, privilégio resultante ou cadeia pós-exploração; portanto, a análise defensiva deve se concentrar em exposição do MMR, versão instalada, participantes e origem de tráfego de reunião associado ao período de risco.
No GitLab, CVE-2025-13927 é acionado por requisições criadas com dados de autenticação malformados. Como a falha permite atuação sem autenticação, a borda HTTP do GitLab deve ser tratada como o principal ponto de observação. O objetivo técnico confirmado é criar uma condição de negação de serviço, não obter conta, segredo ou execução de código. CVE-2025-13928 tem natureza diferente: a autorização incorreta está na API Releases. A exposição, nesse caso, deve ser avaliada nas rotas e eventos ligados a releases de projetos, especialmente quando houver picos de erro, latência, consumo anormal ou requisições repetidas vindas de clientes sem sessão válida.
CVE-2026-0723 tem pré-condição mais restrita. O contorno de 2FA depende de conhecimento prévio do ID de credencial da vítima e do envio de respostas de dispositivo forjadas. Isso limita o cenário quando comparado a uma falha aberta de autenticação, mas não reduz a necessidade de correção, pois o desvio atinge o fator adicional de proteção. A defesa deve separar tentativas normais de autenticação multifator de respostas de dispositivo anômalas, especialmente quando vinculadas a uma credencial específica, origem incomum ou sequência de falhas seguida de sucesso.
As falhas médias completam a superfície de disponibilidade. CVE-2025-13335 envolve documentos Wiki malformados que contornam detecção de ciclos, um padrão compatível com consumo excessivo de processamento ao resolver estruturas documentais inesperadas. CVE-2026-1102 envolve envio repetido de requisições SSH de autenticação malformadas. Em ambos os casos, o fluxo técnico descrito é de degradação ou indisponibilidade, com telemetria provável em logs de Wiki, aplicação, SSH e autenticação. O material disponível não sustenta afirmar vazamento, movimentação lateral ou persistência.
A superfície do Zoom é delimitada aos módulos MMR do Zoom Node Meetings Hybrid e do Zoom Node Meeting Connector em versões anteriores a 5.2.1716.0. Ambientes que não usam esses modos de implantação não aparecem como afetados no material disponível. Para organizações que usam arquitetura híbrida de reuniões, o inventário deve confirmar onde MMRs estão instalados, qual versão está em execução e quais regras de rede permitem tráfego de participantes ou serviços relacionados ao componente. Como a pré-condição envolve acesso de rede ao MMR por participante de reunião, a segmentação entre usuários, redes externas e infraestrutura de reunião é parte direta da redução de risco.
No GitLab, a superfície atravessa múltiplos ramos e recursos. CVE-2025-13927 afeta todas as versões desde 11.9 antes de 18.6.4, 18.7 antes de 18.7.2 e 18.8 antes de 18.8.2. CVE-2025-13928 afeta versões desde 17.7 antes dessas mesmas versões corrigidas. CVE-2026-0723 afeta versões desde 18.6 antes de 18.6.4, 18.7 antes de 18.7.2 e 18.8 antes de 18.8.2. Os casos médios de DoS envolvem Wiki e SSH, o que amplia a validação para instâncias com esses recursos expostos a usuários, automações ou acesso de rede amplo.
- Zoom Node Meetings Hybrid MMR antes de 5.2.1716.0.
- Zoom Node Meeting Connector MMR antes de 5.2.1716.0.
- GitLab CE/EE nos ramos 18.6, 18.7 e 18.8 antes das versões 18.6.4, 18.7.2 e 18.8.2, conforme a falha aplicável.
- GitLab desde 11.9 para a falha de autenticação malformada e desde 17.7 para a falha de autorização incorreta na API Releases, respeitando os limites de versão informados.
Para Zoom, a investigação deve priorizar inventário de versão, eventos de reunião e tráfego de rede direcionado a MMRs. Como o vetor confirmado envolve participante de reunião com acesso de rede ao MMR, é útil correlacionar sessões de reunião, endereços de origem, horários de conexão, falhas de processamento e qualquer reinicialização ou comportamento anormal do serviço MMR. A ausência de exploração observada não elimina a necessidade de examinar janelas anteriores à atualização, principalmente em ambientes nos quais o MMR era alcançável por redes amplas ou por participantes externos.
Para GitLab, a telemetria deve ser separada por recurso afetado. Em autenticação HTTP, procurar volume incomum de requisições com dados malformados, aumento de respostas de erro e impacto sobre disponibilidade. Na API Releases, revisar chamadas não autenticadas ou com autorização inesperada associadas a degradação do serviço. Em 2FA, buscar respostas de dispositivo forjadas ou sequências em que uma credencial específica apareça em tentativas incomuns, lembrando que a pré-condição informada é o conhecimento do ID de credencial da vítima. Em Wiki e SSH, a análise deve procurar documentos malformados associados a erros de processamento e rajadas de autenticação SSH malformada.
- MMRs com versão anterior a 5.2.1716.0 recebendo tráfego de participantes de reunião em redes não esperadas.
- Erros, travamentos, reinicializações ou degradação em serviços MMR durante ou após sessões de reunião.
- Picos de requisições GitLab com dados de autenticação malformados e respostas de erro correlacionadas a indisponibilidade.
- Chamadas à API Releases por usuários não autenticados ou sem autorização esperada, acompanhadas de degradação.
- Tentativas de 2FA com respostas de dispositivo anômalas associadas a um mesmo ID de credencial.
- Eventos de Wiki com documentos malformados e ciclos inesperados, além de rajadas de autenticação SSH malformada.
A mitigação principal no Zoom é atualizar os módulos MMR para a versão 5.2.1716.0 ou posterior nas implantações Zoom Node Meetings Hybrid e Zoom Node Meeting Connector. A atualização deve ser acompanhada de validação de inventário, confirmação de que todos os nós foram corrigidos e revisão das permissões de rede que permitem acesso ao MMR. Onde houver múltiplos ambientes, nós de contingência ou conectores pouco usados, a checagem precisa incluir ativos fora do caminho principal de produção, pois versões antigas podem permanecer expostas mesmo depois da correção do cluster mais visível.
No GitLab, a resposta deve levar as instâncias CE e EE para versões corrigidas: 18.6.4, 18.7.2 ou 18.8.2, conforme o ramo em uso. Instâncias muito antigas devem ser avaliadas contra os limites informados, especialmente porque CVE-2025-13927 cobre versões desde 11.9 e CVE-2025-13928 cobre versões desde 17.7. Após a atualização, é importante validar disponibilidade, autenticação, 2FA, API Releases, Wiki e SSH, pois as falhas corrigidas afetam pontos diferentes da aplicação. Quando houver sinais de abuso, a contenção deve preservar logs antes de reiniciar serviços ou alterar configurações que possam apagar evidências úteis.
Como os impactos confirmados no GitLab são negação de serviço e contorno condicionado de 2FA, a ação defensiva deve combinar correção com endurecimento operacional. Limites de requisição, exposição controlada de SSH e HTTP, monitoramento de erros de autenticação e alertas para anomalias de 2FA ajudam a reduzir a janela entre tentativa e detecção. Para o Zoom, segmentação de rede e redução de acesso direto ao MMR diminuem a chance de que a pré-condição de acesso de rede seja satisfeita por participantes fora do escopo esperado.
- Atualizar Zoom Node Meetings Hybrid MMR e Zoom Node Meeting Connector MMR para 5.2.1716.0 ou versão posterior.
- Atualizar GitLab CE/EE para 18.6.4, 18.7.2 ou 18.8.2, conforme o ramo implantado.
- Confirmar que instâncias GitLab antigas dentro dos intervalos afetados foram migradas ou corrigidas.
- Revisar segmentação e regras de acesso de rede aos MMRs.
- Preservar e analisar logs de autenticação, API Releases, Wiki, SSH e eventos de reunião antes de descartar hipótese de tentativa.
- Validar alertas de disponibilidade e autenticação após a atualização para detectar exploração residual ou tráfego malformado persistente.
0 Comentários