موسسه PerimeterX یک آسیب پذیری جاوا اسکریپت در نسخه دسکتاپ پیام رسان واتس اپ شناسایی کرده که می تواند منجر به سو استفاده هکرها برای نفوذ به سیستم ها با بارگذاری بد افزار شود.هکر می تواند از طریق اعلانات برنامه که برای بسیاری از کاربران عادی به نظر میرسد وارد شود.آسیب پذیری CVE-2019-18426 یک نقص از نوع cross-site scripting بوده ومیتواند به هکر این اجازه را بدهد تا به local file system کاربر فقط از طریق فرستادن یک پیام به خصوص دسترسی پیدا کند.

پلتفرم دسکتاپ واتس اپ ماهانه بیش از ۱.۵ میلیارد کاربر فعال دارد.آسیب پذیری عنوان شده در هر دو نسخه ویندوزی و مک این برنامه دیده شده.این آسیب پذیری بنرها ویا پیش نمایش های لینک های وب را در پیام ها کنترل میکند.کد جاوا اسکریپت ضمیمه شده به بنر بدافزاری می تواند مکانیزم حفاظتی را دور بزندو به local system file کاربر دسترسی پیدا کند.بنا بر یافته های بدست آمده قلب این آسیب پذیری در موتور مرورگر Chromium در فریم ورک Electron قرار دارد.واتس اپ با تکیه بر این فریم ورک رابط کاربری را برای کلاینت دسکتاپ فراهم کرده.با اینکه باگ XSS چندی قبل در Cgromium پچ شده بود ولی واتس اپ از نسخه قدیمی تری از Electron برای Chromiumاستفاده کرده.

Electron پلتفرم بسیار خوبی است  که به شما این امکان را می دهد تا اپلیکیشن های native  با استفاده از قابلیت های استاندارد وب درست کنید.و این کار را برای بسیاری از شرکت های بزرگ بسیار راحت میکند چون اجازه میدهد تا هم برای وب اپلیکیشن و هم اپلیکیشن دسکتاپ  از یک سورس کد استفاده کنند.