Meta-eigenaar WhatsApp heeft twee nieuwe beveiligingsadviezen gepubliceerd over kwetsbaarheden die eerder dit jaar zijn verholpen in de populaire berichtenapp. Eén van de kwetsbaarheden betreft CVE-2026-23863, een probleem met bestandsvervalsing met middelmatige impact dat WhatsApp voor Windows treft in versies vóór 2.3000.1032164386.258709. Een aanvaller kon misvormde documenten met ingebedde NUL-bytes in de bestandsnaam aanmaken. Wanneer zo'n bestand als bijlage werd verstuurd, zag de ontvanger het als een onschadelijk bestand, maar bij openen werd het uitgevoerd als een uitvoerbaar bestand, aldus het beveiligingsadvies van WhatsApp.

De tweede kwetsbaarheid, CVE-2026-23866, heeft eveneens een middelmatige impactscore en betreft WhatsApp voor iOS (versies 2.25.8.0 tot 2.26.15.72) en Android (versies 2.25.8.0 tot 2.26.7.10). Door onvolledige validatie van AI-rijke responsberichten voor Instagram Reels kon een aanvaller het verwerken van mediacontent vanaf een willekeurige URL op het apparaat van een andere gebruiker activeren. Dit omvatte ook het triggeren van door het besturingssysteem gecontroleerde aangepaste URL-handlers. Zulke kwetsbaarheden in aangepaste URL-schema's kunnen in een aanvalsscenario leiden tot het omleiden van gebruikers naar phishingwebsites en het starten van andere apps of diensten via URL-schema's zoals facetime:, tel:, itms-apps: of custom app deep links.

WhatsApp meldt dat beide kwetsbaarheden verantwoordelijk zijn gemeld door anonieme onderzoekers via het Meta bug bounty-programma. Er is geen bewijs dat deze lekken in het wild zijn misbruikt.