开源编辑器Notepad++发布紧急安全更新v8.9.6.1版修复任意代码执行漏洞
开源文本编辑器软件 Notepad++ 在 2026 年 5 月 26 日发布紧急安全更新 v8.9.6.1 版,此更新修复 1 个高危漏洞和 2 个严重漏洞,攻击者可以利用这些漏洞在目标设备上静默运行恶意程序,因此对于使用该软件的用户来说需要立即升级到最新版确保安全,另外不要随意打开来历不明的文件。
以下是漏洞描述:
CVE-2026-48770:高危级别,由于 XML 结构格式错误可能导致崩溃
CVE-2026-48778:严重级别,通过 config.xml 文件执行任意代码
CVE-2026-48800:严重级别,通过 shortcuts.xml 文件执行任意代码
诱导用户打开文件实现任意代码执行:
危害最严重的是 CVE-2026-48778 漏洞,Notepad++ 在读取用户配置文件 config.xml 中的 <GUIConfig name="commandLineInterpreter"> 标签时,没有进行任何验证、白名单或签名检查。这个值被直接存储并用于构建命令,当用户通过菜单 文件 → 打开所在文件夹 → cmd (或右键标签页的对应操作) 触发功能时,程序会使用这个受控字符串作为可执行路径调用 ShellExecute,从而导致任意代码执行。
发现漏洞的安全研究人员已经在 GitHub 上公布漏洞细节,其中比较简单的概念验证程序就是将有效载荷放到计算器上,当然攻击者可以将其替换为任意恶意文件,随后通过 Notepad++ 来启动恶意文件或可执行文件。
安全研究人员建议 Notepad++ 实现允许的命令行解释器白名单 (CMD 和 PowerShell 等),验证可执行文件路径是否符合系统目录,执行任何命令之前引入用户确认对话框等,这些措施可以提高安全性,不过未来是否会实现还需要等待开发者的确认。
有多种可行的漏洞利用方式:
写入配置文件:任何在相同用户账户下运行的进程都可以修改配置文件 %APPDATA%\Notepad++\config.xml
恶意快捷方式:可以使用 -settingsSir= 参数制作快捷方式并将其指向攻击者控制的目录
云端同步投毒:Notepad++ 支持用户配置云路径,攻击者可以通过被入侵的云存储来投毒
社工和钓鱼等:诱导目标用户提取恶意压缩文件,然后将篡改后的配置放到 AppData 目录中
关注公众号:拾黑(shiheibook)了解更多
友情链接:
下软件就上简单下载站:https://www.jdsec.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
女刺客
关注网络尖刀微信公众号