文章总结： Notepad++被曝存在三个高危安全漏洞，其中CVE-2026-48778和CVE-2026-48800为严重级任意代码执行漏洞，攻击者可通过篡改XML配置文件在用户系统上执行恶意代码。漏洞触发场景包括直接修改配置文件、恶意快捷方式、云同步投毒和社会工程学攻击。开发团队已发布v8.9.6.1紧急更新修复漏洞，建议用户立即升级并限制配置目录写入权限。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,应用安全,终端安全

立即更新！Notepad++ 高危漏洞曝光，可直接执行恶意代码

看雪学苑 看雪学苑

看雪学苑

2026年5月28日 17:59 上海

在小说阅读器读本章

去阅读

作为Windows平台最受欢迎的开源文本编辑器之一，Notepad++近期被曝出存在三个严重安全漏洞，其中两个属于“Critical（严重）”级别的任意代码执行漏洞，攻击者可借此 silently 在用户电脑上运行恶意程序。

开发团队已于2026年5月26日发布了 v8.9.6.1 紧急安全更新，修复全部漏洞。所有使用 v8.9.6 及更早版本的用户，请务必立即升级！

漏洞详情：XML文件解析引发的致命风险

本次修复的三个漏洞均与程序对XML配置文件的处理不当有关，其中两个漏洞可直接导致任意代码执行，风险极高：

最危险的CVE-2026-48778：从记事本到代码执行的“致命一步”

这是本次修复中最严重的漏洞，问题出在 config.xml 文件中的 标签。

• 漏洞成因：Notepad++ 读取该配置项时，未进行任何验证、白名单限制或数字签名校验，直接信任并使用用户可控的字符串。
• 触发方式：当用户点击文件 → 在资源管理器中打开 → 命令提示符时，程序会直接调用 ShellExecute() 执行该配置项指定的程序。
• 攻击效果：PoC 验证显示，攻击者只需将该值改为calc.exe，即可让程序打开计算器，证明了完全的代码执行能力。

CVE-2026-48800：另一个配置文件的“后门”

与上一个漏洞原理类似，该漏洞的目标是 shortcuts.xml 文件。攻击者通过篡改该文件中的配置项，同样可以触发任意代码执行。

四种真实攻击场景，风险远超想象

研究人员指出，攻击者可通过以下多种途径利用这些漏洞：

• 直接修改配置文件：任何与用户同权限运行的进程，都可以直接修改 %APPDATA%\Notepad++\config.xml。
• 恶意快捷方式：攻击者可制作包含 -settingsDir= 参数的快捷方式，诱导用户点击，让 Notepad++ 加载其控制的配置文件。
• 云同步投毒：如果用户开启了自定义云同步路径，攻击者可通过入侵云存储服务，篡改配置文件。
• 社会工程学攻击：攻击者制作包含恶意配置文件的压缩包，诱导用户解压后覆盖原文件。

修复方案与防护建议

1. 立即升级至 v8.9.6.1

这是目前最有效的解决方案。用户可通过以下方式升级：

• 打开 Notepad++ → 帮助 → 更新 Notepad++
• 或前往 官方发布页 下载最新版本

2. 企业环境防护建议

• 优先为所有用户批量部署更新，尤其是使用共享或云同步配置目录的环境。
• 限制普通用户对 %APPDATA%\Notepad++ 目录的写入权限。

3. 研究人员的额外建议

安全研究人员同时呼吁 Notepad++ 开发团队在未来版本中增加以下防护措施：

• 对命令行解释器路径进行白名单校验（如仅允许 cmd.exe、powershell.exe）。
• 验证可执行文件路径是否位于系统目录。
• 在执行Shell命令前，增加用户确认对话框。

资讯来源：Cyber Security News

球分享

球点赞

球在看

点击阅读原文查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《立即更新！Notepad++ 高危漏洞曝光，可直接执行恶意代码》