Nuovo bollettino del CSIRT Italia su WhatsApp, evidenziando delle vulnerabilità sia per iOS che per Android.

Le vulnerabilità di WhatsApp – sia su iOS che per Android – continuano a rappresentare un rischio per gli utenti, come ha evidenziato l’ultimo avviso del CSIRT Italia. Per quanto riguarda le versione si tratta di:

• WhatsApp per Windows, tutte le versioni precedenti alla v2.3000.1032164386.258709.

• WhatsApp per iOS dalla v2.25.8.0 alla v2.26.15.72.

• WhatsApp per Android dalla v2.25.8.0 alla v2.26.7.10.

“Qualora si sfruttassero queste vulnerabilità“, si legge nell’avviso, “i malintenzionati potrebbero eseguire codice arbitrario sui sistemi interessati e reindirizzare le vittime verso URL arbitrari e/o malevoli“. Le due tipologie sono Arbitrary Code Execution e URL Redirection.  

Descrizione e potenziali impatti

La vulnerabilità CVE-2026-23863, di tipo Arbitrary Code Execution e con score CVSS v3.x pari a 6.5 e afferente alla versione per Windows, è associata ad una precisa possibilità. Ossia, quella “che il sistema esegua codice arbitrario non previsto“.

Nello specifico, un utente malevolo, tramite l’invio di un file eseguibile con nome opportunamente predisposto, può ingannare un eventuale utente che ne visualizza una tipologia di file diversa. Questo può comportare l’esecuzione del file qualora si procedesse inavvertitamente ad aprirlo.

Dall’altro lato, la vulnerabilità CVE-2026-23866, di tipo URL Redirection e con score CVSS v3.x pari a 4.3 e afferente alle versioni per iOS e Android, è associata ad un’altra possibilità. Nel dettaglio, quella che “il sistema elabori contenuti multimediali malevoli“.

Un utente malevolo, inviando un messaggio opportunamente predisposto tramite la condivisione di un Instagram Reel, può indirizzare il dispositivo della vittima. Dopodiché, questo dispositivo può contattare risorse esterne non legittime o attivare funzionalità del sistema operativo in modo non autorizzato. Questo può comportare l’esecuzione di azioni non previste sul dispositivo.

Protezione e mitigazione

In linea con le indicazioni fornite dal vendor, la raccomandazione è quella “di procedere all’aggiornamento dei prodotti vulnerabili“.

• CVE-2026-23866.
• CVE-2026-23863.

Per approfondire

• https://www.whatsapp.com/security/advisories/2026/: apre un link esternohttps.
• www.securityweek.com/whatsapp-discloses-file-spoofing-arbitrary-url-scheme-vulnerabilities/amp/.

Vai al sito di Cybersecurity Italia.

L'articolo Vulnerabilità WhatsApp in versioni per Windows e iOS/Android, l’allarme del CSIRT Italia. Come proteggersi sembra essere il primo su CyberSecurity Italia.