विश्लेषण प्रतीक्षितCVE-2026-23863

CVE-2026-23863: Attachment Spoofing in WhatsApp Desktop

प्लेटफ़ॉर्म

android

घटक

में ठीक किया गया

2.3000.1032164386.258709

CVE-2026-23863 describes an attachment spoofing vulnerability affecting WhatsApp Desktop for Windows. This flaw allows attackers to craft documents with embedded NUL bytes in the filename, tricking the application into displaying them as a different file type while still executing malicious code when opened. The vulnerability impacts versions 2.3000.0.0 through 2.3000.1032164386.258709, and a patch is available in version 2.3000.1032164386.258709.

Android / Gradle

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी build.gradle फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

build.gradle अपलोड करें

प्रभाव और हमले की स्थितियाँ

WhatsApp Desktop for Windows के संस्करण 2.3000.1032164386.258709 से पहले एक फ़ाइल स्पूफिंग भेद्यता की पहचान की गई है। यह भेद्यता एक हमलावर को फ़ाइल नामों में एम्बेडेड NULL बाइट्स वाले दुर्भावनापूर्ण दस्तावेज़ बनाने की अनुमति देती है। जब ये फ़ाइलें WhatsApp के माध्यम से प्राप्त और खोली जाती हैं, तो एप्लिकेशन गलत फ़ाइल प्रकार (जैसे, एक टेक्स्ट दस्तावेज़) प्रदर्शित कर सकता है, जबकि वास्तव में फ़ाइल एक निष्पादन योग्य फ़ाइल के रूप में चलती है। यह एक हमलावर को उपयोगकर्ता के डिवाइस पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकता है, बिना उपयोगकर्ता को इसके बारे में पता चले। हालांकि, इस भेद्यता के शोषण का कोई सबूत नहीं है, लेकिन रिमोट कोड निष्पादन की संभावना एक महत्वपूर्ण सुरक्षा जोखिम है।

शोषण संदर्भ

इस हमले के लिए उपयोगकर्ता को WhatsApp के माध्यम से दुर्भावनापूर्ण अटैचमेंट खोलना होगा। हमलावर को NULL बाइट्स वाले नाम वाली फ़ाइल बनानी होगी, जिसे टेक्स्ट संपादकों या स्क्रिप्ट का उपयोग करके किया जा सकता है। यह भेद्यता WhatsApp Desktop द्वारा फ़ाइल नामों को संसाधित करने के तरीके में निहित है। उचित फ़ाइल नाम सत्यापन की कमी से फ़ाइल को भ्रामक उपस्थिति के बावजूद निष्पादित करने की अनुमति मिलती है। हालांकि कोई सक्रिय शोषण नहीं देखा गया है, लेकिन दुर्भावनापूर्ण फ़ाइलों को बनाने में सापेक्ष आसानी इस भेद्यता को एक चिंता का विषय बनाती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.01% (1% शतमक)

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope: अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality: कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity: उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability: कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकwhatsapp

विक्रेताFacebook

न्यूनतम संस्करण2.3000.0.0

अधिकतम संस्करण2.3000.1032164386.258709

में ठीक किया गया2.3000.1032164386.258709

कमजोरी वर्गीकरण (CWE)

CWE-158

समयरेखा

प्रकाशित2026-05-01
EPSS अद्यतन2026-05-09

शमन और वर्कअराउंड

इस भेद्यता से खुद को बचाने के लिए, WhatsApp Desktop for Windows को नवीनतम उपलब्ध संस्करण (2.3000.1032164386.258709 या बाद का संस्करण) में अपडेट करने की पुरजोर अनुशंसा की जाती है। WhatsApp ने इस मुद्दे को संबोधित करने के लिए एक अपडेट जारी किया है। इसके अतिरिक्त, उपयोगकर्ताओं को अज्ञात या संदिग्ध स्रोतों से अटैचमेंट खोलने में सावधानी बरतनी चाहिए, भले ही वे हानिरहित दस्तावेज़ों की तरह दिखते हों। अपने ऑपरेटिंग सिस्टम और एंटीवायरस सॉफ़्टवेयर को अपडेट रखने से भी जोखिम को कम करने में मदद मिल सकती है। इस भेद्यता को खत्म करने का सबसे प्रभावी समाधान अपडेट करना है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior para mitigar el riesgo de spoofing de archivos.  Esta actualización corrige la forma en que la aplicación maneja los nombres de archivo, evitando que archivos maliciosos se ejecuten bajo una falsa identidad.  Descargue la última versión desde el sitio web oficial de WhatsApp.

अक्सर पूछे जाने वाले सवाल

CVE-2026-23863 क्या है — WhatsApp Desktop for Windows में?

WhatsApp Desktop खोलें और 'मदद' > 'के बारे में' पर जाएं। WhatsApp स्वचालित रूप से अपडेट खोजेगा और यदि वे उपलब्ध हैं तो उन्हें स्थापित करेगा।

क्या मैं WhatsApp Desktop for Windows में CVE-2026-23863 से प्रभावित हूं?

NULL बाइट्स (\0 के रूप में दर्शाया गया है) विशेष वर्ण हैं जिनका उपयोग अक्सर टेक्स्ट स्ट्रिंग के अंत को इंगित करने के लिए किया जाता है। इस मामले में, उनका उपयोग WhatsApp को धोखा देने के लिए फ़ाइल नाम में किया जाता है।

WhatsApp Desktop for Windows में CVE-2026-23863 को कैसे ठीक करें?

सामान्य तौर पर, हाँ, लेकिन अज्ञात या संदिग्ध स्रोतों से अटैचमेंट के प्रति सावधान रहें। अटैचमेंट खोलने से पहले हमेशा स्रोत को सत्यापित करें।

क्या CVE-2026-23863 का सक्रिय रूप से शोषण किया जा रहा है?

अपने डिवाइस को इंटरनेट से डिस्कनेक्ट करें, अपने एंटीवायरस सॉफ़्टवेयर के साथ पूर्ण स्कैन चलाएं और पेशेवर साइबर सुरक्षा सहायता लेने पर विचार करें।

CVE-2026-23863 के लिए WhatsApp Desktop for Windows का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

नहीं, यह भेद्यता केवल WhatsApp Desktop for Windows को प्रभावित करती है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें

Android / Gradle

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी build.gradle फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

build.gradle अपलोड करें

liveमुफ्त स्कैन

अपने Android / Gradle प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your build.gradle and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

फ़ाइलें ब्राउज़ करें