WhatsApp heeft een spoofinglek in WhatsApp voor Windows gepatcht waardoor het mogelijk was om uitvoerbare bestanden als een ander soort bestand te vermommen. Daarnaast is een beveiligingslek in WhatsApp voor Android en iOS verholpen dat het mogelijk maakte om bij gebruikers van de chatapp mediacontent van willekeurige url's te laden. Beide problemen waren door externe onderzoekers gevonden en aan WhatsApp gemeld.

De eerste kwetsbaarheid, CVE-2026-23863, wordt omschreven als een 'spoofingprobleem' bij het verwerken van bijlagen, die via WhatsApp voor Windows kunnen worden verstuurd. De kwetsbaarheid zorgt ervoor dat WhatsApp voor Windows aangeeft dat een in een bericht meegestuurd uitvoerbaar bestand, een ander soort bestandstype is. Daardoor zouden gebruikers kunnen denken dat het om een onschuldig bestandstype gaat. Als de gebruiker het bestand echter opent wordt het uitvoerbare bestand gewoon uitgevoerd. WhatsApp zegt niet met misbruik van dit probleem bekend te zijn.

Het tweede probleem, CVE-2026-23866, maakt het mogelijk voor een gebruiker om op de telefoon van een andere gebruiker mediacontent vanaf een willekeurige url te laten verwerken. Dit probleem zat in het valideren van 'AI rich response messages'. Wederom zegt WhatsApp niet bekend te zijn met misbruik. Verdere details over de problemen zijn niet bekendgemaakt.

In het geval van WhatsApp voor Windows wordt opgeroepen om te updaten naar versie v2.3000.1032164386.258709 of nieuwer. Voor iOS-gebruikers wordt versie v2.26.15.72 of nieuwer aangeraden. Android-gebruikers kunnen updaten naar versie v2.26.7.10 of nieuwer.