Notepad++: Vulnerabilidade permite códigos e comandos maliciosos

Outra atualização está disponível para o Notepad++. Ele fecha três falhas de segurança, duas das quais são classificadas como de alto risco e permitem que invasores entrem e executem comandos ou até mesmo códigos maliciosos.

No anúncio de lançamento do Notepad++ v8.9.6.1, o desenvolvedor Don Ho escreveu que a nova versão corrige as três vulnerabilidades. Não há limite para o parâmetro “commandLineInterpreter” no arquivo de configuração “config.xml”, portanto, um invasor com direitos de usuário pode definir a entrada ou iniciar o arquivo sozinho usando um .lnk malicioso. Para iniciar este arquivo, a vítima deve ir em “Arquivo” – “Abrir pasta atual” e selecionar “Prompt de comando (cmd)”. A solução é limitar as entradas permitidas a cmd.exe, powershell.exe ou bash.exe, verificar o caminho e avisar o usuário (CVE-2026-48778, CVSS 7,8risco”esse“).

Vulnerabilidade eles abrem”“etiqueta dentro”“no arquivo “shortcuts.xml”. Ele executa tudo o que for inserido lá após clicar na entrada correspondente em “Executar” no menu Notepad ++. Perguntar ao usuário antes da execução também deve ajudar aqui, ou um aviso se aparecer uma nova entrada que não foi criada através do programa GUI (CVE-2026-48800, CVSS 7,8risco”esse“). Uma terceira vulnerabilidade permite que o processamento local envie mensagens “WM_COPYDATA” para o Notepad++; Usar a solicitação gerada faz com que o Notepad++ trave e uma possível negação de serviço (CVE-2026-48770, CVSS 5,0risco”médio“).

Versão de software atualizada

A nova versão está disponível para download em vários formatos na página de download do projeto Notepad++. Os usuários agora devem baixar e instalar manualmente o software atualizado. Mecanismo de atualização integrado Notepad ++ v8.9.5 relata que o software é novo – Ho ainda não lançou uma nova versão (incluindo a versão v8.9.6).

No final da semana passada, Don Ho lançou a versão v8.9.6 do Notepad++. Ele fecha a falha de segurança no instalador.

(dmk)