Impatto Sistemico

Critico (76.66)

Sintesi

Disponibili Proof of Concept (PoC) per le CVE-2026-48800 , CVE-2026-48778 e CVE-2026-48770 – già sanata dal vendor – presenti nel software “Notepad++”, noto editor di testo avanzato per Windows. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato con accesso locale di eseguire codice arbitrario e compromettere la disponibilità del servizio sui sistemi target.

Tipologia

• Arbitrary Code Execution
• Denial of Service

Descrizione e potenziali impatti

Disponibili Proof of Concept (PoC) per le CVE-2026-48800 , CVE-2026-48778 e CVE-2026-48770 – già sanata dal vendor – presenti nel software “Notepad++”, noto editor di testo avanzato per Windows. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato con accesso alla rete locale di eseguire codice arbitrario e compromettere la disponibilità del servizio sui sistemi target.

Di seguito il dettaglio delle vulnerabilità.

CVE-2026-48800 : di tipo “ OS Command Injection ” e con score CVSS v3.1 pari a 7.8, risiede nel componente UserDefinedCommands del file shortcuts.xml ed è dovuta ad una mancata validazione dell’input contenuto nel tag <Command > che viene letto e successivamente passato direttamente alla funzione ShellExecute come percorso eseguibile. Un attaccante con accesso al contesto utente (ad esempio tramite scrittura in %APPDATA% ) può inserire un comando arbitrario all’interno del file XML. Tale comando viene poi presentato come voce legittima nel menu “Run” e potrebbe essere eseguito a seguito di interazione dell’utente con tale voce di menu. Lo sfruttamento di tale vulnerabilità consente l’esecuzione di codice arbitrario nel contesto dell’utente e può essere utilizzato anche come meccanismo di persistenza stealth.

CVE-2026-48778 : di tipo “ OS Command Injection ” e con score CVSS v3.1 pari a 7.8, risiede nel componente di configurazione config.xml , in particolare nel tag <GUIConfig name=”commandLineInterpreter”> . La vulnerabilità è dovuta all’assenza di meccanismi di validazione o di whitelisting del parametro commandLineInterpreter , il cui valore viene successivamente utilizzato come comando da eseguire tramite ShellExecute . Un attaccante, con accesso al contesto utente locale, può modificare tale parametro (direttamente o tramite vettori come cloud sync poisoning , file .lnk malevoli o tecniche di social engineering), inserendo un eseguibile arbitrario. Quando l’utente utilizza la funzione di Notepad++ “Open Containing Folder → cmd”, l’applicazione esegue il comando controllato dall’attaccante al posto dell’interprete previsto (es. cmd.exe ). Lo sfruttamento consente l’esecuzione di codice arbitrario e può essere utilizzato per ottenere persistenza o distribuire payload malevoli mascherati da funzionalità legittime.

CVE-2026-48770 : di tipo “ Out-of-bounds Read ” e con score CVSS v3.1 pari a 5.0, risiede nel meccanismo IPC di Notepad++ che utilizza il messaggio Windows WM_COPYDATA , in particolare nel percorso COPYDATA_FULL_CMDLINE . La vulnerabilità è causata da un’errata gestione della memoria, in cui lpData viene trattato come stringa wide ( wchar_t* ) senza rispettare la dimensione indicata da cbData né verificare la corretta terminazione NUL . Un processo locale nella stessa sessione interattiva può inviare un messaggio costruito ad hoc contenente dati non terminati o malformati, causando accessi a memoria non validi. Lo sfruttamento di tale vulnerabilità può provocare un crash dell’applicazione (DoS), con generazione di eventi di errore Windows (Event ID 1000/1001) e possibili eccezioni come 0xc0000005 .

Prodotti e versioni affette

Notepad++, versioni precedenti alla 8.9.6.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.