CVE-2025-55177

Meta Platforms WhatsApp

ВЕРОЯТНОСТЬ 0.9%
Дата обнаружения

2025-09-02

Официальное описание

Meta Platforms WhatsApp contains an incorrect authorization vulnerability due to an incomplete authorization of linked device synchronization messages. This vulnerability could allow an unrelated user to trigger processing of content from an arbitrary URL on a target’s device.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-55177 в Meta Platforms WhatsApp относится к классу некорректной авторизации (Broken Access Control / Incorrect Authorization). Проблема кроется в механизме синхронизации данных между основным смартфоном и привязанными устройствами (Linked Devices, такими как WhatsApp Web или Desktop).

Из-за неполной проверки прав доступа при обработке служебных сообщений синхронизации, сторонний злоумышленник (не связанный с аккаунтом жертвы) может отправить специально сформированный запрос. Этот запрос заставит приложение на устройстве жертвы обратиться к произвольному URL-адресу и обработать находящийся там контент. Это может быть использовано для проведения атак типа SSRF (Server-Side Request Forgery), обхода сетевых ограничений, утечки IP-адреса жертвы или потенциальной загрузки вредоносной полезной нагрузки.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление клиентов WhatsApp на всех платформах (iOS, Android, Windows, macOS) до актуальных версий, содержащих патч от Meta.

  • В корпоративной инфраструктуре инициируйте принудительное обновление мобильных клиентов через системы MDM (Mobile Device Management), такие как Microsoft Intune, Jamf или MobileIron.
  • Для обновления десктопной версии WhatsApp на корпоративных Windows-устройствах используйте пакетный менеджер:
winget upgrade --id WhatsApp.WhatsApp
  • Для обновления десктопной версии на устройствах под управлением macOS (если приложение установлено через Homebrew):
brew upgrade --cask whatsapp
  • Проведите аудит версий установленного ПО на конечных точках с помощью EDR/XDR решений, чтобы выявить устройства с устаревшими версиями мессенджера.

Временные меры

Если мгновенное обновление всех клиентов в корпоративной сети невозможно, примените следующие компенсирующие меры:

  • Принудительно завершите сеансы всех привязанных устройств. На основном смартфоне перейдите в «Настройки» -> «Связанные устройства» (Linked Devices) и нажмите «Выйти» (Log out) для каждого подключенного устройства.
  • Временно запретите использование WhatsApp Web и WhatsApp Desktop в корпоративной сети на уровне NGFW/Proxy до момента установки обновлений.
  • Отключите автоматическую загрузку медиафайлов в настройках приложения («Настройки» -> «Данные и хранилище»), чтобы минимизировать риск автоматической обработки вредоносного контента, загружаемого по произвольным URL.
  • Настройте правила на корпоративных межсетевых экранах и DNS-фильтрах для блокировки обращений к подозрительным или недавно зарегистрированным доменам (Zero Trust Network Access), чтобы предотвратить успешную эксплуатацию вектора с произвольным URL.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей