Katalog CVE

CVE-2026-52885

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

W Notepad++ przed wersją 8.9.6.4 występuje podatność TOCTOU (Time-of-Check Time-of-Use) w obsłudze pliku shortcuts.xml. Sprawdzanie HMAC odbywa się w momencie wykonania polecenia, ale dane polecenia są pobierane z pamięci, która nie jest synchronizowana z plikiem na dysku. Atakujący może podmienić plik przed uruchomieniem, a następnie przywrócić oryginalny, co pozwala na wykonanie złośliwego polecenia.

Ocena ryzyka

Organizacja narażona jest na wykonanie nieautoryzowanych poleceń przez atakującego z lokalnym dostępem do pliku konfiguracyjnego. Może to prowadzić do eskalacji uprawnień, uruchomienia złośliwego kodu lub naruszenia integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Notepad++ do wersji 8.9.6.4 lub nowszej. Dodatkowo warto ograniczyć uprawnienia do pliku shortcuts.xml tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Notepad++ is a free and open-source source code editor. Prior to 8.9.6.4, NppCommands.cpp checks the HMAC of the on-disk shortcuts.xml at the moment a user command fires (Time-of-Check). However, the command payload is taken from the in-memory _userCommands vector, which is populated at application startup and never re-synchronized with the on-disk file (Time-of-Use). Swapping shortcuts.xml between startup and command execution causes the HMAC check to validate a clean file while a malicious command runs. An attacker with write access to shortcuts.xml places a malicious version on disk before launch, then immediately restores the legitimate file. The HMAC check at execution time validates the restored legitimate file (check passes), while the malicious payload executes from memory. This vulnerability is fixed in 8.9.6.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS