CVE-2026-23863 CVSS 6.5 中危

CVE-2026-23863 WhatsApp Windows附件欺骗漏洞

披露日期: 2026-05-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-23863

漏洞类型

附件欺骗

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WhatsApp for Windows

漏洞概述

WhatsApp for Windows 在 v2.3000.1032164386.258709 之前的版本中存在附件欺骗漏洞。攻击者利用文件名中嵌入的 NUL 字节，使恶意文件在应用中显示为一种类型（如文档），但打开时却作为可执行文件运行。

技术细节

该漏洞源于 WhatsApp for Windows 在解析附件文件名时，对 NUL 字节（\0）的处理存在不一致性。攻击者可以构造一个名为 `safe.pdf\0.exe` 的恶意文件。当 WhatsApp 接收并显示该文件时，UI 层可能在遇到 NUL 字节时截断字符串，仅向用户显示 `.pdf` 后缀，诱导用户认为这是一个安全的文档。然而，当用户尝试打开该文件时，底层的文件创建或执行逻辑可能忽略 NUL 字节或读取完整字符串，导致系统将其识别为 `.exe` 可执行文件并执行。这种差异使得攻击者能够在无需复杂代码执行漏洞的情况下，通过社会工程学手段诱导用户运行恶意代码。

攻击链分析

STEP 1

构造

攻击者创建包含恶意载荷的可执行文件，并将文件名修改为嵌入 NUL 字节的格式（例如：document.pdf\0.exe）。

STEP 2

传递

攻击者通过 WhatsApp 将该恶意文件发送给目标受害者。

STEP 3

欺骗

受害者的 WhatsApp 客户端接收到文件，由于显示层逻辑缺陷，文件在聊天界面中显示为看似无害的文档类型（如 PDF）。

STEP 4

执行

受害者点击打开该文件，应用程序调用底层系统接口，忽略 NUL 字节后的截断，将文件作为可执行程序运行。

STEP 5

入侵

恶意代码在受害者设备上执行，攻击者获得系统控制权或窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os

# CVE-2026-23863 PoC Concept
# Demonstrates creating a file with a NUL byte in the filename.
# This exploits the discrepancy between display and execution logic.

filename = "invoice.pdf\0malware.exe"
content = b"MZ\x90\x00" # Dummy PE header start

try:
    with open(filename, "wb") as f:
        f.write(content)
    print(f"Created file: {repr(filename)}")
    print("On vulnerable systems, this may display as invoice.pdf but execute as malware.exe")
except OSError as e:
    print(f"OS Error: {e}")

影响范围

WhatsApp for Windows < v2.3000.1032164386.258709

防御指南

临时缓解措施

建议用户立即检查并更新 WhatsApp for Windows 应用程序。在官方发布修复补丁之前，应格外小心处理接收到的文件，特别是那些看似为文档但来源可疑的附件。企业用户应部署端点防护系统以检测异常的文件执行行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表