Katalog CVE

CVE-2026-48770

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na nieprawidłowym przetwarzaniu wiadomości WM_COPYDATA. Lokalny proces w tej samej sesji Windows może wysłać spreparowaną wiadomość, która nie sprawdza długości danych, co może prowadzić do przepełnienia bufora.

Ocena ryzyka

Atakujący z dostępem do sesji użytkownika może wykorzystać tę podatność do eskalacji uprawnień lub wykonania dowolnego kodu w kontekście Notepad++, co zagraża poufności i integralności danych.

Rekomendacja

Należy niezwłocznie zaktualizować Notepad++ do wersji 8.9.6.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Notepad++ is a free and open-source source code editor. Prior to 8.9.6.1, a local process in the same interactive Windows session can send a malformed WM_COPYDATA message to Notepad++ using the COPYDATA_FULL_CMDLINE path. The handler appears to process COPYDATASTRUCT.lpData as an unbounded NUL-terminated wchar_t* instead of enforcing COPYDATASTRUCT.cbData. This vulnerability is fixed in 8.9.6.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS