Sono state rilevate due vulnerabilità due vulnerabilità di sicurezza di livello medio in WhatsApp, una delle piattaforme di messaggistica istantanea più utilizzate al mondo, che interessano le versioni per Windows, iOS e Android.
Le falle potrebbero essere sfruttate da un attaccante per ottenere effetti potenzialmente dannosi sui dispositivi delle vittime, tra cui l’esecuzione di codice non autorizzato o il reindirizzamento verso contenuti malevoli.
Nel dettaglio, la vulnerabilità identificata come CVE-2026-23863, con un punteggio CVSS pari a 6.5 e relativa alla versione Windows di WhatsApp, riguarda la possibilità di esecuzione di codice arbitrario. In pratica, un attore malevolo potrebbe inviare un file con caratteristiche e nome studiati ad arte per ingannare l’utente.
Qualora la vittima lo aprisse, convinta che si tratti di un altro tipo di file, il sistema potrebbe eseguire codice dannoso con possibili conseguenze sulla sicurezza del dispositivo.
La seconda vulnerabilità, CVE-2026-23866, riguarda invece le versioni per iOS e Android e presenta un punteggio CVSS di 4.3. In questo caso il problema è legato alla gestione di contenuti multimediali: un messaggio opportunamente costruito, ad esempio veicolato tramite la condivisione di un Instagram Reel, potrebbe indurre il dispositivo a contattare risorse esterne non legittime o attivare funzionalità del sistema operativo senza autorizzazione, con il rischio di comportamenti non previsti.
Le versioni interessate sono:
- WhatsApp per Windows: tutte le versioni precedenti alla v2.3000.1032164386.258709
- WhatsApp per iOS: dalla v2.25.8.0 alla v2.26.15.72
- WhatsApp per Android: dalla v2.25.8.0 alla v2.26.7.10
Il CSIRT Italia, in linea con le indicazioni fornite dal vendor, raccomanda di aggiornare l’applicazione all’ultima versione disponibile.
