Facebook ha publicado y corregido una vulnerabilidad identificada en WhatsApp Desktop para Windows. El fallo, rastreado como CVE-2025-30401 (CVSSv3 de 6.7 de acuerdo con CISA), permitiría a los atacantes aprovechar metadatos de archivo no coincidentes para ejecutar código arbitrario (RCE) en sistemas vulnerables.
La falla surge de un problema de suplantación de identidad en la forma en que WhatsApp gestiona los archivos adjuntos. La aplicación muestra los archivos adjuntos entrantes en función de su tipo MIME pero selecciona el gestor de apertura de archivos en función de la extensión del nombre del archivo adjunto. Este desajuste podría aprovecharse para crear un archivo aparentemente inofensivo pero que ejecute código malicioso al abrirlo. El fallo afecta a WhatsApp Desktop para Windows en todas las versiones anteriores a 2.2450.6.
Los usuarios que utilizan WhatsApp para móviles o macOS no se encontrarían afectados. Se recomienda actualizar a la versión 2.2450.6 o posteriores para mitigar el fallo, además de evitar abrir archivos adjuntos de fuentes no fiables o sospechosas.
Tomado del Boletín Semanal de Ciberseguridad, 4-11 abril
2025 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados
0 comentarios