CVE-2026-23863: Attachment Spoofing in WhatsApp Desktop
Plataforma
android
Componente
Corrigido em
2.3000.1032164386.258709
CVE-2026-23863 describes an attachment spoofing vulnerability affecting WhatsApp Desktop for Windows. This flaw allows attackers to craft documents with embedded NUL bytes in the filename, tricking the application into displaying them as a different file type while still executing malicious code when opened. The vulnerability impacts versions 2.3000.0.0 through 2.3000.1032164386.258709, and a patch is available in version 2.3000.1032164386.258709.
Detecte esta CVE no seu projeto
Envie seu arquivo build.gradle e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
Uma vulnerabilidade de falsificação de arquivos foi identificada no WhatsApp Desktop para Windows em versões anteriores a 2.3000.1032164386.258709. Esta vulnerabilidade permite que um atacante crie documentos maliciosos com nomes de arquivo contendo bytes NUL embutidos. Quando esses arquivos são recebidos e abertos via WhatsApp, o aplicativo pode exibir um tipo de arquivo incorreto (por exemplo, um documento de texto), enquanto, na realidade, o arquivo é executado como um executável. Isso pode permitir que um atacante execute código malicioso no dispositivo do usuário sem o conhecimento deste. Embora não haja evidências de exploração na natureza, o potencial para execução remota de código representa um risco de segurança significativo.
Contexto de Exploração
O ataque requer que o usuário abra o anexo malicioso via WhatsApp. O atacante precisa criar um arquivo com um nome contendo bytes NUL, o que pode ser feito usando editores de texto ou scripts. A vulnerabilidade reside na forma como o WhatsApp Desktop processa nomes de arquivo. A falta de validação adequada do nome do arquivo permite que o arquivo seja executado, apesar da aparência enganosa. Embora não haja exploits ativos vistos, a relativa facilidade de criar arquivos maliciosos torna esta vulnerabilidade uma preocupação.
Inteligência de Ameaças
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
Para se proteger contra esta vulnerabilidade, é fortemente recomendado atualizar o WhatsApp Desktop para Windows para a versão mais recente disponível (2.3000.1032164386.258709 ou posterior). O WhatsApp lançou uma atualização para resolver este problema. Além disso, os usuários devem ter cautela ao abrir anexos de fontes desconhecidas ou suspeitas, mesmo que pareçam ser documentos inofensivos. Manter seu sistema operacional e software antivírus atualizados também pode ajudar a mitigar o risco. A atualização é a solução mais eficaz para eliminar esta vulnerabilidade.
Como corrigirtraduzindo…
Actualice WhatsApp Desktop para Windows a la versión 2.3000.1032164386.258709 o superior para mitigar el riesgo de spoofing de archivos. Esta actualización corrige la forma en que la aplicación maneja los nombres de archivo, evitando que archivos maliciosos se ejecuten bajo una falsa identidad. Descargue la última versión desde el sitio web oficial de WhatsApp.
Perguntas frequentes
O que é CVE-2026-23863 em WhatsApp Desktop for Windows?
Abra o WhatsApp Desktop e vá para 'Ajuda' > 'Sobre'. O WhatsApp procurará e instalará automaticamente atualizações, se estiverem disponíveis.
Estou afetado pelo CVE-2026-23863 no WhatsApp Desktop for Windows?
Bytes NUL (representados como \0) são caracteres especiais frequentemente usados para indicar o fim de uma string de texto. Neste caso, eles são usados no nome do arquivo para enganar o WhatsApp.
Como corrijo o CVE-2026-23863 no WhatsApp Desktop for Windows?
Geralmente, sim, mas tenha cuidado com anexos de fontes desconhecidas ou suspeitas. Sempre verifique a fonte antes de abrir um anexo.
O CVE-2026-23863 está sendo explorado ativamente?
Desconecte seu dispositivo da internet, execute uma verificação completa com seu software antivírus e considere procurar assistência profissional de segurança cibernética.
Onde encontro o aviso oficial do WhatsApp Desktop for Windows para o CVE-2026-23863?
Não, esta vulnerabilidade afeta apenas o WhatsApp Desktop para Windows.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo build.gradle e descubra na hora se você está afetado.
Escaneie seu projeto Android / Gradle agora — sem conta
Envie seu build.gradle e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...