Zoom ha classificato come critica una vulnerabilit� del suo client per Windows che consente di impossessarsi dell'account di un utente senza bisogno di autenticarsi. Il difetto, identificato come CVE-2026-53412, ha ricevuto un punteggio CVSS di 9,8 su 10, appena sotto il massimo teorico, e riguarda una fetta molto ampia dell'utenza: Zoom Workplace per Windows � installato su milioni di postazioni tra privati e organizzazioni. Secondo il bollettino ZSB-26014, la falla nasce da una validazione inadeguata dei dati in ingresso e permette a un utente non autenticato di prendere il controllo di un account operando via rete. Il vettore CVSS pubblicato da Zoom (AV:N/AC:L/PR:N/UI:N) dice qualcosa in pi� della semplice cifra: l'attacco arriva da remoto, non richiede privilegi preesistenti e, dettaglio che pesa, non ha bisogno di alcuna interazione da parte della vittima. Sono le condizioni che trasformano un errore di validazione in un rischio concreto. Zoom non ha diffuso dettagli tecnici sul meccanismo, limitandosi a inquadrare il problema come errore di validazione dell'input. La vulnerabilit� � stata individuata internamente dal team Zoom Offensive Security, la squadra di sicurezza offensiva dell'azienda, e al momento non risultano indicazioni di sfruttamento in attacchi reali. Le versioni interessate sono Zoom Workplace per Windows precedenti alla 7.0.0, il Meeting SDK per Windows sempre prima della 7.0.0 e il client VDI per Windows, dove le release corrette variano per ramo: 7.0.10, 6.6.15 e 6.5.18. La correzione passa dall'aggiornamento all'ultima versione disponibile, che Zoom invita a scaricare dal proprio portale ufficiale. Le altre falle chiuse nello stesso ciclo Lo stesso ciclo di patch mette una pezza ad altri tre problemi di gravit� elevata ma inferiore, tutti sfruttabili soltanto da un utente gi� autenticato con accesso locale alla macchina. CVE-2026-53410 � una race condition di tipo TOCTOU (time-of-check to time-of-use) che, durante l'installazione o la disinstallazione, apre a una scalata di privilegi; tocca Zoom Workplace, il client e il plugin VDI, Zoom Rooms per Windows e il Remote Control per Zoom Contact Center. CVE-2026-53409 riguarda una gestione impropria dei privilegi in Zoom Rooms per Windows prima della 7.1.0, mentre CVE-2026-53411 � un altro caso di validazione inadeguata dell'input, circoscritto al plugin VDI per Windows prima della 6.6.14. In entrambi i casi un utente locale autenticato pu� elevare i propri privilegi. Il profilo della CVE-2026-53412 non lascia margine di attesa: un account takeover remoto su un software installato praticamente ovunque va chiuso senza indugio. L'aggiornamento all'ultima release del client resta l'unica mitigazione indicata dall'azienda.