A Meta biztonsági csapata súlyos biztonsági rést fedezett fel a WhatsApp for Windows asztali alkalmazásában, amely CVE-2025-30401 azonosítót kapta. Ez a sérülékenység távoli kódfuttatást tesz lehetővé, ha a felhasználó a WhatsApp Desktopban megnyitott egy manipulált fájlcsatolmányt. A probléma alapvetően a fájlkezelés és a fájlformátumok kezelésének módjából fakadt, és a 2.2450.6 előtti verziókat érinti.
A Facebook által közzétett hivatalos közlemény szerint a hiba gyökere a fájlcsatolmányok kezelésének logikai hibájában rejlik, amely során az alkalmazás nem konzisztensen alkalmazta a fájltípusok meghatározására szolgáló módszereket. Az érintett verziókban a WhatsApp a csatolmányok megjelenítését a MIME-típus, míg a futtatási logikát a fájlnév kiterjesztése alapján határozta meg. Ez a kettős döntési mechanizmus nyitott lehetőséget arra, hogy egy támadó spoofolt fájlokat használjon rosszindulatú célra.
Egy támadó tehát képes volt olyan fájlt létrehozni, amely például ártalmatlan .jpeg képként jelent meg, miközben ténylegesen egy .exe kiterjesztésű futtatható állomány volt. Amennyiben a felhasználó az alkalmazáson belül, manuálisan megnyitotta a fájlt, a rendszer nem a MIME-típus alapján viselkedett, hanem a fájl valódi kiterjesztése alapján – és futtatta az ártalmas kódot.
Ez a módszer távoli kódfuttatásra (Remote Code Execution – RCE) adott lehetőséget , amely során a támadó tetszőleges parancsokat futtathatott az áldozat gépén, adatokat lophatott, vagy más típusú malware-t is telepíthetett.
A sérülékenység kizárólag a Windows-alapú WhatsApp Desktop klienst érintette; a mobilplatformokon (Android, iOS), illetve macOS-en futó verziók nem tartalmazták a hibás fájlkezelési logikát, így ezek nem voltak érintettek a sebezhetőség által.
Mivel a támadás manuális interakciót igényelt, ez a támadási forma inkább célzott kompromittálásokra volt alkalmas, nem tömeges fertőzési hullámokra.
A Meta (a WhatsApp anyavállalata) gyorsan reagált a hibára, és kiadta a javított 2.2450.6-os verziót, amely kiküszöböli a fájlkezelési logika hibáját. Minden érintett felhasználónak javasolt a legfrissebb verzióra történő frissítés, hogy elkerülje a hasonló támadásokat.