Baileys has message upsert / hist sync spoofing and app state corruption when using maliciously crafted protocolMessage payload — CVE-2026-48063

Résumé

### Impact Any baileys session under the latest version (< 7.0.0-rc12, and < 6.7.22) can be sent a malicious payload via the placeholderResendMessage and trigger a fake `messages.upsert` event with a **fake message key and payload**. This allows anyone to spoof messages. The same exploit also allows an attacker to corrupt the app state sync system by sending fake key shares, and also allows for history sync…

Produit

npm: baileys | npm: @whiskeysockets/baileys

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

• Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
• Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
• Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
• Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

• Lire la source officielle
• CVE Record
• NVD

Avis associés