CVE-2026-48778
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 68 — wyżej niż 68% wszystkich znanych CVE
Streszczenie
Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na braku walidacji wartości tagu <GUIConfig name="commandLineInterpreter"> w pliku config.xml. Atakujący może zmodyfikować ten plik, aby przy otwarciu konsoli (File → Open Containing Folder → cmd) uruchomić dowolne polecenie z uprawnieniami użytkownika.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego lub lokalnego wykonania dowolnego kodu po dostarczeniu spreparowanego pliku konfiguracyjnego. Organizacja narażona jest na przejęcie kontroli nad stacjami roboczymi, kradzież danych lub instalację złośliwego oprogramowania.
Rekomendacja
Należy niezwłocznie zaktualizować Notepad++ do wersji 8.9.6.1 lub nowszej. Dodatkowo warto ograniczyć uprawnienia do zapisu pliku config.xml oraz stosować mechanizmy kontroli integralności plików konfiguracyjnych.
Oryginalny opis (angielski, źródło NVD)
Notepad++ is a free and open-source source code editor. Prior to 8.9.6.1, the <GUIConfig name="commandLineInterpreter"> tag in config.xml is read by NppXml::value() (Parameters.cpp:6430) and stored in _nppGUI._commandLineInterpreter without any validation, whitelist, or digital signature check. When the user triggers IDM_FILE_OPEN_CMD (File → Open Containing Folder → cmd), NppCommands.cpp:228 creates a Command object with this value and calls run(), which invokes ShellExecute (RunDlg.cpp:221) with the attacker-controlled string as the executable path. This vulnerability is fixed in 8.9.6.1.

