Un fallo de severidad casi perfecto (CVSS 9.9) permitía a cualquier participante de una reunión ejecutar código remoto y tomar el control de la infraestructura privada de Zoom de una organización.
Si tu empresa utiliza despliegues híbridos de Zoom para mantener las reuniones dentro de su red privada, es hora de alertar al equipo de TI. Zoom ha emitido hoy, 21 de enero de 2026, una actualización de seguridad de emergencia para corregir una vulnerabilidad devastadora en sus enrutadores multimedia (MMR).
Rastreada como CVE-2026-22844 , esta falla no es un simple error de software; es una puerta abierta de par en par que permite la Ejecución Remota de Código (RCE) a través de la red, obteniendo una puntuación de riesgo de 9.9 sobre 10.
El Fallo: Un participante, un comando
El problema reside en los nodos MMR, que son los componentes encargados de procesar y encaminar el tráfico de audio y video en implementaciones locales (On-Premise) o híbridas.
- El Mecanismo: La vulnerabilidad es una Inyección de Comandos. Debido a una validación insuficiente de los datos de entrada, un atacante (que podría ser simplemente un participante legítimo en una reunión) puede enviar paquetes de datos mal formados al servidor MMR.
- El Impacto: Estos paquetes engañan al servidor para que ejecute comandos arbitrarios del sistema operativo con los privilegios del servicio Zoom. En términos simples: un asistente a la reunión podría hackear el servidor que aloja la llamada sin necesidad de credenciales de administrador.
¿Quién está afectado?
Este fallo no afecta a los usuarios que utilizan la nube pública estándar de Zoom (zoom.us), ya que esa infraestructura es gestionada por el proveedor. El riesgo es exclusivo para organizaciones que utilizan Zoom Node para gestionar sus propios servidores de reuniones por razones de privacidad o rendimiento.
Componentes vulnerables
- Zoom Node Meetings Hybrid (ZMH): Módulos MMR anteriores a la versión 5.2.1716.0.
- Conector de reunión de nodo Zoom (MC): Módulos MMR anteriores a la versión 5.2.1716.0.
Descubrimiento y Estado
El hallazgo es un crédito para el equipo interno de Seguridad Ofensiva de Zoom, quienes descubrieron el problema durante auditorías proactivas.
- Buenas Noticias: Hasta el momento de la publicación, Zoom afirma que no hay evidencia de que esta vulnerabilidad haya sido explotada en ataques reales (“In the Wild”).
Solución inmediata
- Actualizar MMR: Los administradores de Zoom Node deben actualizar inmediatamente el módulo MMR a la versión 5.2.1716.0 o superior a través de la consola de administración de Zoom.
- Revisión de Logs: Aunque no hay ataques confirmados, como buena práctica se recomienda revisar los registros de los servidores MMR en busca de comandos inusuales o picos de tráfico inexplicables provenientes de IPs de participantes.
