开源编辑器Notepad++发布紧急安全更新v8.9.6.1版修复任意代码执行漏洞

开源文本编辑器软件 Notepad++ 在 2026 年 5 月 26 日发布紧急安全更新 v8.9.6.1 版，此更新修复 1 个高危漏洞和 2 个严重漏洞，攻击者可以利用这些漏洞在目标设备上静默运行恶意程序，因此对于使用该软件的用户来说需要立即升级到最新版确保安全，另外不要随意打开来历不明的文件。

• CVE-2026-48770：高危级别，由于 XML 结构格式错误可能导致崩溃

• CVE-2026-48778：严重级别，通过 config.xml 文件执行任意代码

• CVE-2026-48800：严重级别，通过 shortcuts.xml 文件执行任意代码

危害最严重的是 CVE-2026-48778 漏洞，Notepad++ 在读取用户配置文件 config.xml 中的 <GUIConfig name="commandLineInterpreter"> 标签时，没有进行任何验证、白名单或签名检查。这个值被直接存储并用于构建命令，当用户通过菜单 文件 → 打开所在文件夹 → cmd (或右键标签页的对应操作) 触发功能时，程序会使用这个受控字符串作为可执行路径调用 ShellExecute，从而导致任意代码执行。

发现漏洞的安全研究人员已经在 GitHub 上公布漏洞细节，其中比较简单的概念验证程序就是将有效载荷放到计算器上，当然攻击者可以将其替换为任意恶意文件，随后通过 Notepad++ 来启动恶意文件或可执行文件。

安全研究人员建议 Notepad++ 实现允许的命令行解释器白名单 (CMD 和 PowerShell 等)，验证可执行文件路径是否符合系统目录，执行任何命令之前引入用户确认对话框等，这些措施可以提高安全性，不过未来是否会实现还需要等待开发者的确认。

• 写入配置文件：任何在相同用户账户下运行的进程都可以修改配置文件 %APPDATA%\Notepad++\config.xml

• 恶意快捷方式：可以使用 -settingsSir= 参数制作快捷方式并将其指向攻击者控制的目录

• 云端同步投毒：Notepad++ 支持用户配置云路径，攻击者可以通过被入侵的云存储来投毒

• 社工和钓鱼等：诱导目标用户提取恶意压缩文件，然后将篡改后的配置放到 AppData 目录中

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/