Две уязвимости произвольного выполнения кода в Notepad++ (CVE-2026-48778 и CVE-2026-48800) с оценкой CVSS 7.8 позволяют локальным атакам изменять XML-файлы конфигурации для запуска команд на Windows. Уязвимости затрагивают версии до 8.9.6. — csoonline.com
Две уязвимости, позволяющие произвольное выполнение кода, в Notepad++ дали локальным злоумышленникам возможность запускать команды по своему выбору на машинах под управлением Windows путем изменения XML-конфигурационных файлов редактора. Обе уязвимости получили оценку High по шкале CVSS 7.8.
Уязвимости, отслеживаемые как CVE-2026-48778 и CVE-2026-48800, затрагивают все версии редактора вплоть до 8.9.6 включительно, как сообщил Notepad++ в примечании к выпуску. Однако уязвимости были исправлены в тот же день в версии 8.9.6.1 вместе с третьей ошибкой, вызывающей сбой, с меньшей степенью критичности — CVE-2026-48770, написал автор Notepad++ Дун Хо в примечании к выпуску.
Две уязвимости выполнения кода имеют общую слабость в проектировании. Notepad++ хранит пользовательские настройки, такие как путь к интерпретатору командной строки и список определяемых пользователем команд, в XML-файлах в каталоге профиля пользователя. Редактор считывает эти значения и передает их операционной системе в качестве команд без проверки их содержимого, согласно Уведомлению о безопасности GitHub по Notepad++ от 27 мая.
Любой, кто может производить запись в XML-файлы, может определить, что будет выполнять редактор, говорится в уведомлении.
Бэкдор, скрывающийся в меню «Выполнить»
Более серьезная из двух уязвимостей, CVE-2026-48800, нацелена на файл, содержащий записи пользовательского меню «Выполнить» (Run).
Notepad++ считывает определяемые пользователем команды из файла с именем shortcuts.xml и принимает все, что находит там, без проверки, говорится в уведомлении. Злоумышленник, имеющий возможность записи в этот файл, может добавить запись, которая запускает произвольный исполняемый файл при нажатии на нее в меню «Выполнить».
«Внедренные команды отображаются в меню «Выполнить» с правдоподобными именами, что делает их похожими на обычные ярлыки, созданные пользователем», — говорится в уведомлении. «Это создает действенный механизм сохранения, поскольку внедренные команды сохраняются после перезагрузок».
Демонстрационный пример (proof of concept), опубликованный Хо, показывает внедренную запись с именем «System Update Check», которая запускает Калькулятор Windows. Об этой уязвимости сообщил итальянский исследователь Микеле Пиччини.
Второй путь через интерпретатор командной строки
Второй баг выполнения кода, CVE-2026-48778, нацелен на другой файл. Notepad++ хранит путь к своему интерпретатору командной строки в файле с именем config.xml и принимает любое значение, которое находит там, как программу для запуска при открытии пользователем папки в cmd, говорится в отдельном уведомлении. Путь к интерпретатору хранится «без какой-либо проверки, белого списка или проверки цифровой подписи», — указано в уведомлении. Злоумышленник, отредактировавший config.xml, может подменить любой исполняемый файл вместо реальной командной строки Windows. Пиччини сообщил и об этой уязвимости.
Ни одна из уязвимостей не позволяет злоумышленнику получить доступ к XML-файлам самостоятельно, говорится в уведомлениях. Обе предполагают, что злоумышленник уже имеет возможность записи в каталог AppData пользователя или может обманом заставить пользователя запустить Notepad++ с отравленной папкой настроек, будь то через локальное вредоносное ПО, вредоносный ярлык Windows, синхронизированные через облако настройки или извлечение архива, полученного в результате социальной инженерии.
Третья исправленная уязвимость, CVE-2026-48770, следует той же теме непроверенного ввода, но не доходит до выполнения кода. Локальный процесс в той же сессии Windows может отправить редактору некорректное межпроцессное сообщение, которое надежно вызывает сбой, добавлено в уведомлении. Оценка CVSS для этого бага составляет 5.0.
Вопросительный знак над доставкой исправлений MSI
Пользователи Notepad++ могут загрузить исправленные бинарные файлы версии 8.9.6.1 с страницы загрузок проекта, которая предлагает как установщик EXE, так и установщик MSI для корпоративного IT-развертывания, который Хо добавил в ноябре 2025 года.
MSI появился после устойчивого корпоративного спроса, который усилился после того, как спонсируемая государством группа из Китая захватила инфраструктуру обновлений редактора на шесть месяцев в 2025 году, и после того, как Хо ужесточил механизм обновления в феврале с помощью проверок криптографической целостности.
В уведомлениях рекомендовалось пользователям отслеживать каталог AppData на машинах с запущенным Notepad++ на предмет неожиданных изменений в shortcuts.xml и config.xml. Сохранение обеих уязвимостей не оставляет следов в каталоге установки и не изменяет сам бинарный файл Notepad++, говорится в уведомлениях, что означает, что инструменты конечных точек, проверяющие только исполняемые файлы, пропустят это. Хо не предоставил индикаторов компрометации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain