Meta ha divulgado vulnerabilidades de seguridad de gravedad media en WhatsApp que podrían permitir a atacantes aprovechar la integración con Instagram Reels para ejecutar procesamiento arbitrario de URLs en dispositivos afectados, incluyendo la invocación de manejadores de esquemas URL personalizados a nivel del sistema operativo sin el consentimiento del usuario. El problema se basa en la validación incompleta de mensajes enriquecidos generados por IA que contienen contenido de Instagram Reels, afectando aplicaciones móviles en iOS y Android, y se acompaña de una vulnerabilidad adicional en la versión para Windows relacionada con la manipulación de nombres de archivo.
CVE y severidad
- CVE-2026-23866: Vulnerabilidad de validación incompleta en mensajes enriquecidos con contenido de Instagram Reels en WhatsApp. Afecta aplicaciones móviles para iOS (v2.25.8.0 a v2.26.15.72) y Android (v2.25.8.0 a v2.26.7.10). Clasificada con severidad media.
- CVE-2026-23863: Vulnerabilidad de suplantación de archivo adjunto debido a inyección de byte NUL en WhatsApp para Windows antes de la versión v2.3000.1032164386.258709.
Meta no ha detectado explotación activa en entornos reales al momento de la publicación, pero el potencial impacto es relevante dada la amplia base global de usuarios.
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas / SO |
|---|---|---|---|
| Meta | v2.25.8.0 – v2.26.15.72 | iOS | |
| Meta | v2.25.8.0 – v2.26.7.10 | Android | |
| Meta | Antes de v2.3000.1032164386.258709 | Windows |
Solución
Actualizar WhatsApp a versiones posteriores a v2.26.15.72 en iOS, v2.26.7.10 en Android y la versión correspondiente para Windows.
Recomendaciones
Se recomienda aplicar actualizaciones inmediatamente y mantener políticas de gestión de dispositivos móviles (MDM) que garanticen la actualización obligatoria en entornos empresariales; además, se debe monitorear tráfico en red para detección de invocaciones inusuales de esquemas URL desde aplicaciones de mensajería y educar a los usuarios sobre riesgos asociados a contenidos multimedia enriquecidos generados por IA.