CVE-2026-23863: Attachment Spoofing en WhatsApp Desktop para Windows
Plataforma
android
Componente
Corregido en
2.3000.1032164386.258709
Se ha descubierto una vulnerabilidad de suplantación de archivos adjuntos en WhatsApp Desktop para Windows, afectando versiones desde 2.3000.0.0 hasta 2.3000.1032164386.258709. Esta falla permite que documentos maliciosos, con nombres de archivo que contienen bytes NUL incrustados, se muestren como un tipo de archivo específico dentro de la aplicación, pero se ejecuten como ejecutables al ser abiertos. Aunque no se ha evidenciado explotación activa en entornos reales, la vulnerabilidad representa un riesgo significativo.
Detecta esta CVE en tu proyecto
Sube tu archivo build.gradle y te decimos al instante si estás afectado.
Impacto y Escenarios de Ataque
Un atacante podría aprovechar esta vulnerabilidad para engañar a los usuarios de WhatsApp Desktop para Windows haciéndoles creer que están abriendo un documento inofensivo (como un PDF o un archivo de texto). Al incluir bytes NUL en el nombre del archivo, el atacante puede manipular la forma en que WhatsApp Desktop interpreta el tipo de archivo. Cuando el usuario abre el archivo, en lugar de mostrar el contenido esperado, se ejecuta un código malicioso. Esto podría resultar en la ejecución remota de código, robo de información sensible almacenada en el dispositivo, o incluso el control del sistema. La severidad de este impacto depende del tipo de código malicioso incluido en el archivo y de los permisos con los que se ejecuta.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 1 de mayo de 2026. Actualmente, no se ha reportado evidencia de explotación activa en la naturaleza. La vulnerabilidad no se encuentra en KEV (Kernel Exploit Vulnerability Database) ni tiene una puntuación EPSS (Exploit Prediction Scoring System) asignada, lo que sugiere una baja probabilidad de explotación a corto plazo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior. Si la actualización causa problemas de compatibilidad, se recomienda contactar con el soporte de WhatsApp para obtener asistencia. Como medida temporal, los usuarios pueden ser instruidos para verificar cuidadosamente la extensión del archivo y el origen del archivo adjunto antes de abrirlo, incluso si la aplicación muestra una extensión diferente. Implementar políticas de seguridad que restrinjan la ejecución de archivos desde ubicaciones no confiables también puede ayudar a reducir el riesgo.
Cómo corregirlotraduciendo…
Actualice WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior para mitigar el riesgo de spoofing de archivos. Esta actualización corrige la forma en que la aplicación maneja los nombres de archivo, evitando que archivos maliciosos se ejecuten bajo una falsa identidad. Descargue la última versión desde el sitio web oficial de WhatsApp.
Preguntas frecuentes
What is CVE-2026-23863 — Attachment Spoofing en WhatsApp Desktop para Windows?
CVE-2026-23863 describe una vulnerabilidad que permite suplantar archivos adjuntos en WhatsApp Desktop para Windows, engañando a los usuarios para que ejecuten código malicioso disfrazado de documentos inofensivos. Afecta versiones 2.3000.0.0–2.3000.1032164386.258709.
Am I affected by CVE-2026-23863 en WhatsApp Desktop para Windows?
Si está utilizando WhatsApp Desktop para Windows en una versión anterior a 2.3000.1032164386.258709, es vulnerable a esta vulnerabilidad. Actualice a la última versión disponible para mitigar el riesgo.
How do I fix CVE-2026-23863 en WhatsApp Desktop para Windows?
La solución es actualizar WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior. Si la actualización causa problemas, contacte con el soporte de WhatsApp.
Is CVE-2026-23863 being actively exploited?
Hasta la fecha, no se ha reportado evidencia de explotación activa en la naturaleza, aunque la vulnerabilidad representa un riesgo potencial.
Where can I find the official WhatsApp advisory for CVE-2026-23863?
Consulte la página de seguridad de WhatsApp para obtener información oficial sobre esta vulnerabilidad: [https://www.whatsapp.com/security/](https://www.whatsapp.com/security/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo build.gradle y te decimos al instante si estás afectado.
Escanea tu proyecto Android / Gradle ahora — sin cuenta
Sube tu build.gradle y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...