In sintesiNotepad++ ha aggiornato una serie di vulnerabilità critiche, tra cui l'esecuzione di codice arbitrario tramite la configurazione del file config.xml e shortcuts.xml. Gli aggiornamenti recenti hanno risolto tre CVE, ma gli utenti devono rimanere vigili contro possibili attacchi attraverso file di configurazione pre-preparati e directory di sincronizzazione cloud.
Nel popolare editor Notepad++ sono state trovate alcune vulnerabilità pericolose, una delle quali consente di eseguire codice arbitrario tramite le normali funzioni del programma. Il problema riguarda milioni di utenti, poiché l’applicazione è diventata da tempo una sorta di standard per lavorare con testo e codice in Windows.
Gli sviluppatori hanno rilasciato l’aggiornamento Notepad++ 8.9.6.1, in cui hanno colmato tre lacune relativi ai bug monitorati con i codici CVE-2026-48770, CVE-2026-48778
e CVE-2026-48800. Il più grave riconosciuto il il bug con il codice CVE-2026-48778. L’errore è legato all’elaborazione del file config.xml e al parametro commandLineInterpreter. Il programma ha utilizzato il valore della configurazione senza verifica, quindi ha avviato il file specificato tramite la funzione “Apri cartella contenente in cmd”.
Gli esperti hanno dimostrato che un utente malintenzionato può modificare un parametro e causare l’avvio di qualsiasi applicazione. Nella PoC, invece della riga di comando, è stata aperta una calcolatrice di Windows, che ha confermato la possibilità di esecuzione di codice in modalità remota.
L’attacco richiede l’intervento dell’utente, ma ci sono purtroppo molti scenari di sfruttamento. Gli aggressori possono modificare il file config.xml nella directory AppData, utilizzare scorciatoie speciali con il parametro –settingsDir o manomettere le impostazioni tramite le directory di sincronizzazione cloud. Un’ulteriore minaccia è creata dagli archivi con file di configurazione pre-impostati e distribuiti tramite metodi di ingegneria sociale.
Un’altra vulnerabilità, il CVE-2026-48770, ha portato a arresti anomali dell’applicazione e negazione del servizio durante l’elaborazione di strutture di dati danneggiate, mentre il CVE-2026-48800 consente anche l’esecuzione di codice arbitrario a causa della gestione errata del file shortcuts.xml.
Il difetto principale è classificato come CWE-78, correlato all’iniezione dei comandi di sistema. Gli autori del rapporto sottolineano che la bassa complessità delle operazioni e la mancanza di necessità di privilegi elevati rendono il problema particolarmente pericoloso negli ambienti aziendali.
Gli sviluppatori consigliano di installare Notepad++ 8.9.6.1 il più rapidamente possibile. Inoltre, si consiglia agli amministratori di monitorare le modifiche ai file di configurazione e di limitare le autorizzazioni di scrittura alle directory sensibili di Windows.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su
bug,
data breach e
minacce globali. Ogni contenuto è validato dalla nostra community di esperti come
Pietro Melillo,
Massimiliano Brolli,
Sandro Sana,
Olivia Terragni e
Stefano Gazzella.
Grazie alla sinergia con i nostri
Partner leader nel settore (tra cui
Accenture,
CrowdStrike,
Trend Micro e
Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa
peer-review tecnica.