La vulnerabilidad de WhatsApp permite a los atacantes aprovechar los reels de Instagram para ejecutar URL maliciosas

Meta ha revelado una vulnerabilidad de seguridad de gravedad media en WhatsApp que podría permitir a los actores de amenazas explotar la integración de Instagram Reels para activar el procesamiento de URL arbitrario en los dispositivos de las víctimas, invocando potencialmente controladores de esquemas de URL personalizados a nivel del sistema operativo sin el consentimiento del usuario. Vulnerabilidades de WhatsApp La falla, rastreada como CVE-2026-23866, se debe a una validación incompleta de mensajes de respuesta ricos en inteligencia artificial para Instagram Reels en la aplicación WhatsApp.

La vulnerabilidad afecta a las dos principales plataformas móviles, WhatsApp para iOS versiones v2.25.8.0 a v2.26.15.72 y WhatsApp para Android versiones v2.25.8.0 a v2.26.7.10. En esencia, CVE-2026-23866 explota la forma en que WhatsApp procesa mensajes de respuesta enriquecidos generados por IA que muestran contenido de Instagram Reels. Otra vulnerabilidad identificada como CVE-2026-23863, la falla está clasificada como un problema de suplantación de archivos adjuntos que afecta a WhatsApp para Windows antes de la versión v2.3000.1032164386.258709. La vulnerabilidad fue descubierta por un investigador externo a través del programa Meta Bug Bounty y desde entonces Meta la ha parcheado.

La causa principal de CVE-2026-23863 radica en cómo WhatsApp para Windows maneja los nombres de archivos que contienen bytes NUL incrustados, un carácter nulo (x00) inyectado en la cadena del nombre del archivo. La publicación La vulnerabilidad de WhatsApp permite a los atacantes aprovechar los carretes de Instagram para ejecutar URL maliciosas apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗