CVE-2026-2577

The WhatsApp bridge component in Nanobot binds the WebSocket server to all network interfaces (0.0.0.0) on port 3001 by default and does not require authentication for incoming connections. An unauthenticated remote attacker with network access to the bridge can connect to the WebSocket server to hijack the WhatsApp session. This allows the attacker to send messages on behalf of the user, intercept all incoming messages and media in real-time, and capture authentication QR codes.

CVSS v3 10.0 CRITICAL

10.0^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.8

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/HKUDS/nanobot/releases/tag/v0.1.3.post7
https://www.tenable.com/security/research/tra-2026-09

Configurations

No configuration.

History

18 Feb 2026, 17:52

Type	Values Removed	Values Added
Summary		(es) El componente de puente de WhatsApp en Nanobot enlaza el servidor WebSocket a todas las interfaces de red (0.0.0.0) en el puerto 3001 por defecto y no requiere autenticación para las conexiones entrantes. Un atacante remoto no autenticado con acceso de red al puente puede conectarse al servidor WebSocket para secuestrar la sesión de WhatsApp. Esto permite al atacante enviar mensajes en nombre del usuario, interceptar todos los mensajes y medios entrantes en tiempo real, y capturar códigos QR de autenticación.

16 Feb 2026, 10:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-16 10:16

Updated : 2026-02-18 17:52

NVD link : CVE-2026-2577

Mitre link : CVE-2026-2577

CVE.ORG link : CVE-2026-2577

JSON object : View

Products Affected

No product.

CWE

CWE-306

Missing Authentication for Critical Function

10.0 /10