概述
CVE-2025-62484 - Zoom Workplace客户端低效正则表达式复杂度漏洞
漏洞描述
Zoom Workplace客户端6.5.10之前版本中存在低效正则表达式复杂度问题,可能允许未经认证的用户通过网络访问进行权限提升。
漏洞详情
- 发布日期:2025年11月13日 16:15
- 最后修改:2025年11月13日 16:15
- 远程利用:是
- 漏洞来源:security@zoom.us
受影响产品
以下产品受到CVE-2025-62484漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Zoom | meeting_software_development_kit | |
| 2 | Zoom | meeting_sdk |
总计受影响厂商:1 | 产品:2
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.1 | CVSS 3.1 | 高 | 2.8 | 5.2 | security@zoom.us | |
| 8.1 | CVSS 3.1 | 高 | 2.8 | 5.2 | MITRE-CVE |
解决方案
- 更新Zoom Workplace客户端至6.5.10或更高版本
- 应用厂商提供的安全补丁
- 尽可能限制网络访问
相关参考
公告、解决方案和工具参考链接:
CWE - 常见弱点枚举
CVE-2025-62484与以下CWE相关:
CWE-1333:低效正则表达式复杂度
常见攻击模式枚举和分类(CAPEC)
CAPEC-492:正则表达式指数级膨胀攻击
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 低效正则表达式复杂度在特定Zoom Workplace客户端6.5.10之前版本可能允许未经认证用户通过网络访问进行权限提升 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | |
| 添加 | CWE | CWE-1333 | |
| 添加 | 参考 | https://www.zoom.com/en/trust/security-bulletin/zsb-25048 |
漏洞评分详情
CVSS 3.1基础分数:8.1
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 需要 | 未改变 | 高 | 高 | 无 |