كشفت WhatsApp عن ثغرة أمنية متوسطة الخطورة في تطبيقها على نظامي iOS وAndroid، يمكن أن تتيح معالجة محتوى وسائط من رابط عشوائي على جهاز مستخدم آخر عبر رسائل الاستجابة الغنية المرتبطة بمقاطع Instagram Reels، بما في ذلك تشغيل معالجات روابط مخصصة يتحكم بها نظام التشغيل.
وتحمل هذه الثغرة المعرف (CVE-2026-23866 بتقييم CVSS عند 4.3). وترتبط، وفق نشرة WhatsApp الأمنية لعام 2026، بضعف في التحقق من رسائل الاستجابة الغنية المدعومة بالذكاء الاصطناعي عند عرض محتوى Instagram Reels داخل التطبيق. ويشمل نطاق التأثر تطبيق WhatsApp لنظام iOS من الإصدار v2.25.8.0 حتى v2.26.15.72، وتطبيق WhatsApp لنظام Android من الإصدار v2.25.8.0 حتى v2.26.7.10.
آلية الخلل ونطاق التأثر
تتمثل خطورة الخلل في أن التطبيق قد يعالج محتوى وسائط من عنوان URL غير موثوق عند تلقي الرسالة أو التفاعل معها، بدلاً من الاكتفاء بمصدر الوسائط المتوقع. وقد يفتح ذلك المجال أمام مهاجم لإعداد رسالة مصممة بعناية تدفع جهاز الضحية إلى التعامل مع رابط خارجي، وربما استدعاء مخططات روابط خاصة على مستوى نظام التشغيل.
وفي هذا السياق، أكدت WhatsApp أنها لم ترصد أدلة على استغلال الثغرة في هجمات فعلية حتى تاريخ الإفصاح. كما أوضحت أن باحثاً خارجياً اكتشف الثغرة من خلال برنامج Meta للمكافآت الأمنية، ثم أكدها فريق الأمن في Meta.
ثغرة منفصلة في إصدار Windows
تضمنت النشرة نفسها ثغرة أخرى (CVE-2026-23863 بتقييم CVSS عند 6.5) في WhatsApp لنظام Windows قبل الإصدار v2.3000.1032164386.258709. وترتبط هذه الثغرة بمشكلة انتحال في المرفقات، حيث يمكن لملفات مصممة بصورة خبيثة أن تظهر بنوع معين داخل التطبيق، بينما يمكن تشغيلها كملفات تنفيذية عند فتحها بسبب وجود محارف NUL مضمّنة في اسم الملف.
توصيات التحديث والمتابعة
يتعين على المستخدمين والمؤسسات تحديث تطبيق WhatsApp على نظام iOS إلى إصدار أحدث من v2.26.15.72، وعلى نظام Android إلى إصدار يتجاوز v2.26.7.10، بالإضافة إلى تحديث إصدار Windows إلى نسخة لاحقة للإصدار المتأثر. كما يُنصح مسؤولو الأمن في البيئات المؤسسية بتفعيل سياسات إدارة الأجهزة المحمولة لفرض التحديثات الإلزامية، ومراقبة أي سلوك غير معتاد يتعلق باستدعاء مخططات الروابط من تطبيقات المراسلة.
ويبرز هذا الإفصاح جانباً متزايد الأهمية في أمن تطبيقات المراسلة، حيث تمتد المخاطر إلى طرق معالجة المحتوى الغني والتكاملات بين الخدمات، خصوصاً عندما تكون مرتبطة بتجارب وسائط أو استجابات مولدة آلياً.
