Windowsで最も広く使われているオープンソーステキストエディタの一つであるNotepad++が、3つのセキュリティ脆弱性に対処する緊急パッチをリリースしました。そのうち2つは任意のコード実行を可能にするものです。バージョン8.9.6以前を使用しているユーザーは、直ちにアップデートするよう強く求められています。
2026年5月26日、Notepad++開発チームはv8.9.6.1をリリースし、攻撃者がアプリケーションを乗っ取り悪意あるコードを実行することを可能にする3つのセキュリティ上の欠陥を静かに修正しました。被害者のマシン上でのコード実行が可能となっていました。
これらの脆弱性はCVE-2026-48770、CVE-2026-48778、CVE-2026-48800として追跡されています。
最も危険な脆弱性であるCVE-2026-48778は、Notepad++がconfig.xml設定ファイルを処理する方法に存在します。<GUIConfig name="commandLineInterpreter">タグは、検証、許可リストチェック、デジタル署名の検証が一切行われることなく読み取られて保存されます。
ユーザーが「ファイル → 含まれているフォルダーを開く → cmd」を実行すると、Notepad++はこのタグの値を実行可能パスとしてShellExecute()に無条件で渡してしまいます。つまり、攻撃者は正規のコマンドインタープリタの代わりに任意のプログラムを置き換えることができます。
これにより、cmd.exeの代わりにWindowsの電卓が起動してしまいます。実際の攻撃者であれば、代わりに悪意あるバイナリを置き換えるでしょう。Donho氏が述べているように、悪用に昇格した権限は必要ありません。現実的な攻撃経路がいくつか存在します。
同様に、CVE-2026-48800は類似のコードパスを通じてshortcuts.xmlファイルを悪用します。
修正は2026年5月26日にリリースされたNotepad++ v8.9.6.1で提供されています。バージョン8.9.6以前のすべてのユーザーが影響を受けており、Notepad++公式ウェブサイトから直ちにアップグレードする必要があります。
開発者には、許可されたインタープリタの許可リスト(例:cmd.exe、powershell.exe)の実装、信頼できるシステムディレクトリに対する実行可能パスの検証、およびコマンドラインインタープリタを実行する前のユーザー確認ダイアログの追加が推奨されています。
翻訳元: https://cyberpress.org/notepad-vulnerability/