広く使われているこのオープンソースエディタの2つの欠陥は、改ざんされた設定ファイルを通じて引き起こされる可能性があり、プロジェクトのメンテナーがセキュリティアップデートを公開した。
Notepad++における2件の任意コード実行の脆弱性により、ローカルの攻撃者がエディタのXML設定ファイルを改ざんすることで、Windowsマシン上で任意のコマンドを実行できる状態となっており、いずれの欠陥もCVSS 7.8の「High(高)」と評価されている。
CVE-2026-48778およびCVE-2026-48800として追跡されているこの欠陥は、バージョン8.9.6を含むすべてのバージョンのエディタに影響すると、Notepad++はリリースノートで述べた。ただし、これらの脆弱性は同日にバージョン8.9.6.1でパッチが適用され、Notepad++の作者であるDun Ho氏はリリースノートの中で、3件目のより深刻度の低いクラッシュバグ「CVE-2026-48770」も同時に修正したと記している。
2件のコード実行の欠陥には共通の設計上の弱点がある。Notepad++は、コマンドラインインタープリターへのパスやユーザー定義コマンドの一覧など、ユーザーの選択内容をユーザーのプロファイルディレクトリ内のXMLファイルに保存している。5月27日に公開されたNotepad++に関するGitHubセキュリティアドバイザリによると、エディタはこれらの値を読み取り、内容を検証することなくオペレーティングシステムにコマンドとして渡している。
アドバイザリによれば、XMLファイルへの書き込みが可能な者であれば誰でも、エディタが実行する内容を決定できるという。
2件の欠陥のうちより深刻なCVE-2026-48800は、ユーザー定義の「実行」メニューエントリを保持するファイルを標的としている。
アドバイザリによると、Notepad++はshortcuts.xmlというファイルからユーザー定義コマンドを読み込み、そこに記述された内容を検証なしに受け入れる。このファイルへの書き込みが可能な攻撃者は、ユーザーが「実行」メニューでクリックした際に任意の実行ファイルを起動するエントリを追加できる。
「注入されたコマンドは、正規のユーザー作成ショートカットのように見える名前で実行メニューに表示される」とアドバイザリは述べている。「注入されたコマンドは再起動後も残存するため、有効な永続化メカニズムとして機能する。」
Ho氏が公開した概念実証では、「System Update Check(システム更新チェック)」という名前の注入エントリがWindowsのCalculatorを起動する様子が示されている。この欠陥はイタリア人研究者のMichele Piccinni氏が報告した。
コマンドラインインタープリター経由の第2の攻撃経路
2件目のコード実行バグであるCVE-2026-48778は、別のファイルを標的としている。別のアドバイザリによると、Notepad++はコマンドラインインタープリターへのパスをconfig.xmlというファイルに保存しており、ユーザーがcmdでフォルダを開く際に起動するプログラムとして、そこに記述された値をそのまま受け入れる。アドバイザリによれば、インタープリターのパスは「いかなる検証、ホワイトリスト、デジタル署名チェックも行われずに」保存されているという。config.xmlを編集できる攻撃者は、本物のWindowsコマンドプロンプトを任意の実行ファイルに置き換えることができる。この脆弱性もPiccinni氏が報告した。
アドバイザリによれば、いずれの欠陥も攻撃者自身がXMLファイルにアクセスできるわけではない。どちらも、ローカルマルウェア、悪意のあるWindowsショートカット、クラウド同期された設定、またはソーシャルエンジニアリングによるアーカイブ展開などを通じて、攻撃者がすでにユーザーのAppDataディレクトリへの書き込み権限を持っているか、改ざんされた設定フォルダに対してNotepad++を実行するようユーザーを誘導できる状況を前提としている。
3件目のパッチ適用済みの欠陥であるCVE-2026-48770も、未検証の入力という同じテーマに沿っているが、コード実行には至らない。アドバイザリによると、同じWindowsセッション内のローカルプロセスが、エディタを確実にクラッシュさせる不正なプロセス間メッセージを送信できるという。このバグのCVSSスコアは5.0である。
MSIパッチ配布に関する疑問点
Notepad++ユーザーは、プロジェクトのダウンロードページからパッチ適用済みの8.9.6.1バイナリをダウンロードできる。同ページでは、EXEインストーラーと、Ho氏が2025年11月に追加したエンタープライズIT展開向けのMSIインストーラーの両方を提供している。
MSIインストーラーの提供は、根強いエンタープライズ需要を受けたものだ。その背景には、中国の国家支援グループが2025年に6ヶ月間にわたってエディタの更新インフラを乗っ取った事件や、Ho氏が2月に暗号化整合性チェックによって更新メカニズムを強化した経緯がある。
アドバイザリでは、Notepad++が動作するマシンのAppDataフォルダ内のshortcuts.xmlおよびconfig.xmlへの予期しない変更を監視するよう推奨している。両欠陥はインストールディレクトリに痕跡を残さず、Notepad++バイナリ自体にも変更を加えないとアドバイザリは述べており、実行ファイルのみを監視するエンドポイントツールでは検出できないことを意味する。Ho氏は侵害の痕跡(IoC)を公開していない。
