CVE-2026-23863: Attachment Spoofing in WhatsApp Desktop
プラットフォーム
android
コンポーネント
修正版
2.3000.1032164386.258709
CVE-2026-23863 describes an attachment spoofing vulnerability affecting WhatsApp Desktop for Windows. This flaw allows attackers to craft documents with embedded NUL bytes in the filename, tricking the application into displaying them as a different file type while still executing malicious code when opened. The vulnerability impacts versions 2.3000.0.0 through 2.3000.1032164386.258709, and a patch is available in version 2.3000.1032164386.258709.
このCVEがあなたのプロジェクトに影響するか確認
build.gradle ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
WhatsApp Desktop for Windowsのバージョン2.3000.1032164386.258709より前のバージョンにおいて、ファイル偽装の脆弱性が確認されました。この脆弱性を悪用すると、攻撃者はファイル名に埋め込まれたNULLバイトを含む悪意のあるドキュメントを作成できます。WhatsAppを通じてこれらのファイルを受信して開くと、アプリケーションは誤ったファイルタイプ(例:テキストドキュメント)を表示する可能性がありますが、実際には実行可能ファイルとして実行されます。これにより、攻撃者はユーザーのデバイス上で悪意のあるコードをユーザーに気づかれずに実行できる可能性があります。現状では、この脆弱性が実際に悪用されているという証拠はありませんが、リモートコード実行の可能性は重大なセキュリティリスクとなります。
悪用の状況
この攻撃を実行するには、ユーザーがWhatsApp経由で悪意のある添付ファイルを開く必要があります。攻撃者は、NULLバイトを含むファイル名を生成する必要があります。この操作は、テキストエディタやスクリプトを使用して実行できます。この脆弱性は、WhatsApp Desktopがファイル名を処理する方法に起因します。ファイル名の適切な検証がないため、ファイルは誤解を招く外観にもかかわらず実行されます。現時点では、アクティブな悪用事例は確認されていませんが、悪意のあるファイルの作成が比較的容易であるため、この脆弱性は懸念事項となっています。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- 必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- なし — 機密性への影響なし。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- なし — 可用性への影響なし。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 公開日
- EPSS 更新日
緩和策と回避策
この脆弱性から保護するため、WhatsApp Desktop for Windowsを最新バージョン(2.3000.1032164386.258709以降)にアップデートすることを強く推奨します。WhatsAppは、この問題を修正するためのアップデートをリリースしています。また、不明または疑わしいソースからの添付ファイルを注意して開くようにしてください。オペレーティングシステムとアンチウイルスソフトウェアを最新の状態に保つことも、リスクを軽減するのに役立ちます。アップデートがこの脆弱性を排除するための最も効果的な解決策です。
修正方法翻訳中…
Actualice WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior para mitigar el riesgo de spoofing de archivos. Esta actualización corrige la forma en que la aplicación maneja los nombres de archivo, evitando que archivos maliciosos se ejecuten bajo una falsa identidad. Descargue la última versión desde el sitio web oficial de WhatsApp.
よくある質問
CVE-2026-23863 とは何ですか?(WhatsApp Desktop for Windows)
WhatsApp Desktopを開き、「ヘルプ」>「バージョン情報」に移動します。WhatsAppは自動的にアップデートを検索し、利用可能な場合はインストールします。
WhatsApp Desktop for Windows の CVE-2026-23863 による影響を受けていますか?
NULLバイト(\0として表される)は、テキスト文字列の終わりを示すために使用される特殊文字です。この場合、NULLバイトはWhatsAppを欺くためにファイル名に使用されます。
WhatsApp Desktop for Windows の CVE-2026-23863 を修正するにはどうすればよいですか?
一般的には安全ですが、不明または疑わしいソースからの添付ファイルには注意してください。添付ファイルを開く前に、必ずソースを確認してください。
CVE-2026-23863 は積極的に悪用されていますか?
デバイスをインターネットから切断し、アンチウイルスソフトウェアで完全なスキャンを実行し、専門のサイバーセキュリティ支援を検討してください。
CVE-2026-23863 に関する WhatsApp Desktop for Windows の公式アドバイザリはどこで確認できますか?
いいえ、この脆弱性はWhatsApp Desktop for Windowsにのみ影響します。
このCVEがあなたのプロジェクトに影響するか確認
build.gradle ファイルをアップロードすると、影響の有無を即座にお知らせします。
Android / Gradleプロジェクトを今すぐスキャン — アカウント不要
Upload your build.gradle and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...