As falhas CVE-2026-23863 e CVE-2026-23866 impactam versões do WhatsApp em Windows, iOS e Android; Meta afirma não haver evidências de exploração ativa.
A Meta divulgou dois boletins de segurança abordando vulnerabilidades que foram corrigidas no WhatsApp. Os problemas atingem versões do aplicativo para iOS, Android e Windows, e poderiam ser utilizados para enganar usuários com arquivos disfarçados ou acionar funções do celular sem que a vítima percebesse.
Ainda não há registro de exploração ativa para ambas as falhas, que foram reportadas por pesquisadores por meio do programa de recompensas da Meta.
O arquivo disfarçado como documento
A primeira vulnerabilidade, referente ao CVE-2026-23863, impacta o WhatsApp para Windows em versões anteriores à v2.3000.1032164386.258709. Essa falha é classificada como spoofing de anexo, uma técnica que faz com que um arquivo malicioso pareça um tipo diferente de arquivo.
Para entender a gravidade da situação, é importante saber como os sistemas operacionais identificam arquivos. O Windows utiliza a extensão no final do nome, como .pdf ou .docx, para determinar as suas ações. O WhatsApp também utiliza essa nomenclatura para mostrar o ícone apropriado na conversa.
A falha permitia que essa leitura fosse enganada usando um caractere invisível chamado byte NUL, representado como \x00, fazendo com que o WhatsApp exibisse o arquivo de forma incorreta como um documento comum, enquanto o Windows continha a extensão verdadeira.
Na prática, isso significava que um atacante poderia enviar um arquivo que parecia inofensivo, como um PDF, mas que se revelava um executável malicioso ao ser aberto. O simples clique da vítima era suficiente para ativar a exploração, sem requerer permissões adicionais.
A falha já foi corrigida, e os usuários do WhatsApp para Windows devem atualizar para a versão v2.3000.1032164386.258709 ou posterior.
A vulnerabilidade com Reels
A segunda falha, CVE-2026-23866, afeta o WhatsApp para iOS em versões de v2.25.8.0 a v2.26.15.72 e o WhatsApp para Android nas versões v2.25.8.0 a v2.26.7.10. Ela está relacionada a como o aplicativo processa mensagens contendo previews de vídeos do Instagram Reels.
Ao exibir um Reel, o WhatsApp busca o conteúdo por meio de uma URL, porém, as versões vulneráveis não verificavam adequadamente se essa URL era válida. Isso permitiu que um criminoso enviasse uma mensagem formatada para que o dispositivo da vítima buscasse conteúdo a partir de uma URL sob controle adversário.
Esse problema é crítico, pois os sistemas operacionais reconhecem protocolos especiais capazes de abrir aplicativos diretamente ou executar funções sem a interação do usuário. Por exemplo, o protocolo tel: inicia uma chamada telefônica e o itms-apps: redireciona para a App Store.
Com isso, um atacante poderia redirecionar a vítima para um site de phishing, abrir aplicativos sem permissão ou acionar funções silenciosamente no sistema.
A Meta já endereçou essa falha, e as versões seguras para iOS são as posteriores a v2.26.15.72 e para Android as posteriores a v2.26.7.10.
Próximos passos
A recomendação é que todos os usuários atualizem o WhatsApp em seus dispositivos. No iOS, as versões seguras são as que vão além da v2.26.15.72. No Android, devem ser versões superiores à v2.26.7.10; e para Windows, a atualização necessária é a v2.3000.1032164386.258709 ou posterior.
A Meta declarou não ter encontrado sinais de exploração em ambientes reais. Entretanto, considerando que o WhatsApp possui mais de 2 bilhões de usuários ativos mundialmente, qualquer vulnerabilidade não corrigida apresenta um risco relevante, principalmente para operações de spyware ou ataques patrocinados por estados.
Acompanhe o TecMania nas redes sociais. Para mais informações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.