A Meta corrigiu uma vulnerabilidade de média severidade no WhatsApp que poderia permitir o uso da integração com Reels do Instagram para acionar URLs maliciosas em dispositivos das vítimas. A falha foi rastreada como CVE-2026-23866.
O problema está relacionado à validação incompleta de mensagens ricas geradas por IA que exibem conteúdo de Reels dentro do WhatsApp. Em determinadas condições, o aplicativo poderia processar uma URL arbitrária controlada por um invasor.
A falha afeta o WhatsApp para iOS nas versões 2.25.8.0 até 2.26.15.72 e o WhatsApp para Android nas versões 2.25.8.0 até 2.26.7.10. Versões posteriores já incluem a correção disponibilizada pela Meta.
Na prática, a exploração poderia fazer o aparelho buscar e processar mídia a partir de um endereço definido pelo atacante. O risco envolve o acionamento de manipuladores de URL no nível do sistema operacional, sem consentimento adequado do usuário.
A Meta informou que a vulnerabilidade foi descoberta por um pesquisador externo por meio de seu programa de recompensas e validada pela equipe interna de segurança. A correção foi incorporada às versões mais recentes do aplicativo.
O mesmo boletim também menciona a CVE-2026-23863, uma falha de spoofing de anexos no WhatsApp para Windows antes da versão 2.3000.1032164386.258709. Nesse caso, o problema envolve nomes de arquivos com bytes nulos embutidos.
Os usuários devem atualizar o WhatsApp no Android, iOS e Windows, evitar interagir com mensagens suspeitas e manter o sistema operacional em dia.
