Notepad++ - CVE-2026-48778
Date de publication :
Il s'agit d'une vulnérabilité d'injection de commande système dans le traitement du fichier de configuration config.xml de Notepad++.
Notepad++ est un éditeur de texte et de code source gratuit et open source pour Windows. Il prend en charge la coloration syntaxique pour de nombreux langages de programmation et propose des fonctionnalités d'édition avancées pour les utilisateurs techniques et administrateurs.
La valeur du tag <GUIConfig name="commandLineInterpreter"> est lue par la fonction NppXml::value() et stockée dans _nppGUI._commandLineInterpreter sans aucune validation, liste blanche ni vérification de signature. Lorsque l'utilisateur déclenche l'action "Fichier → Ouvrir le dossier contenant → cmd", l'application construit un objet Command à partir de cette valeur et l'exécute via ShellExecute() sans contrôle du chemin. Un attaquant disposant d'un accès en écriture au répertoire %APPDATA%\ Notepad++\ peut substituer l'interpréteur légitime par un exécutable arbitraire, déclenché lors d'une interaction utilisateur avec l'application.
Elle permet une exécution de code arbitraire dans le contexte de l'utilisateur courant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Notepad++ versions 8.9.6 et antérieures