Zoomは現地時間2026年3月10日、同社オンライン会議ツールのWindows向けクライアントに関する複数の脆弱性について公表しました。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にセキュリティアドバイザリ4件を公開したもので、「Zoom Workplace for Windows」では、ファイル名やパスの処理に脆弱性「CVE-2026-30903」が判明。メール機能においてファイル名やパスの外部制御によって、認証されていないユーザーがネットワーク経由で権限の昇格が可能になるということです。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.6」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされています。
さらに不適切な権限管理「CVE-2026-30902」、更新機能におけるバージョンチェックの不備「CVE-2026-30900」、入力検証不備「CVE-2026-30901」など3件の脆弱性も判明しています。
これら脆弱性については最新版で解消されているとし、利用者にアップデートを呼びかけています。