Zoom y GitLab han publicado actualizaciones de seguridad para resolver una serie de vulnerabilidades de seguridad que podrían provocar la denegación de servicio (DoS) y la ejecución remota de código.

La más grave de todas es una falla de seguridad crítica que afecta a los enrutadores multimedia (MMR) de Zoom Node y que podría permitir a un participante de la reunión realizar ataques de ejecución remota de código. La vulnerabilidad, rastreada como CVE-2026-22844 y descubierto internamente por su equipo de seguridad ofensiva, tiene una puntuación CVSS de 9,9 sobre 10,0.

«Una vulnerabilidad de inyección de comandos en los enrutadores multimedia (MMR) de Zoom Node anteriores a la versión 5.2.1716.0 podía permitir a un participante de una reunión ejecutar el código remoto del MMR a través del acceso a la red», dijo la empresa apuntado en una alerta del martes.

Zoom recomienda que los clientes que utilicen despliegues de Zoom Node Meetings, Hybrid o Meeting Connector se actualicen a la última versión de MMR disponible para protegerse contra cualquier posible amenaza.

No hay evidencia de que la falla de seguridad haya sido explotada en la naturaleza. La vulnerabilidad afecta a las siguientes versiones:

  • Versiones del módulo MMR Zoom Node Meetings Hybrid (ZMH) anteriores a 5.2.1716.0
  • Versiones del módulo MMR de Zoom Node Meeting Connector (MC) anteriores a 5.2.1716.0

GitLab lanza parches para fallas graves

La divulgación se produce como GitLab publicado correcciones para varios fallos de alta gravedad que afectaban a sus ediciones Community (CE) y Enterprise Edition (EE) y que podían provocar DoS y eludir las protecciones de autenticación de dos factores (2FA). Las deficiencias se enumeran a continuación:

  • CVE-2025-13927 (Puntuación CVSS: 7.5): una vulnerabilidad que podría permitir a un usuario no autenticado crear una condición de DoS mediante el envío de solicitudes elaboradas con datos de autenticación mal formados (afecta a todas las versiones de la 11.9 a la 18.6.4, a la 18.7 a la 18.7.2 y a la 18.8 antes de la 18.8.2)
  • CVE-2025-13928 (Puntuación CVSS: 7.5): una vulnerabilidad de autorización incorrecta en la API de versiones que podría permitir que un usuario no autenticado provocara una condición de DoS (afecta a todas las versiones de 17.7 a 18.6.4, 18.7 a 18.7.2 y 18.8 a 18.8.2)
  • CVE-2026-0723 (puntuación CVSS: 7,4): una vulnerabilidad que podría permitir a una persona con conocimiento previo del identificador de credenciales de la víctima eludir la 2FA enviando respuestas de dispositivo falsificadas (afecta a todas las versiones de la 18.6 a la 18.6.4, la 18.7 anterior a la 18.7.2 y la 18.8 anterior a la 18.8.2)

GitLab también corrige otros dos errores de gravedad media que también podían desencadenar una condición de DoS (CVE-2025-13335, puntuación CVSS: 6,5, y CVE-2026-1102, puntuación CVSS: 5,3) al configurar documentos Wiki con formato incorrecto que eluden la detección de ciclos y enviar solicitudes de autenticación SSH repetidas y con formato incorrecto, respectivamente.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.