CSIRT Toscana Notepad++: PoC pubblico per lo sfruttamento della CVE-2026-3008 (AL01/260427/CSIRT-ITA)
Data:
27 Aprile 2026
Impatto Sistemico
Critico (79.48)
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2026-3008 – già sanata dal vendor – presente nel software “Notepad++”, noto editor di testo avanzato per Windows. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di compromettere la disponibilità del servizio o accedere a informazioni sensibili presenti nei registri e nello stack del processo Notepad++ in esecuzione sul sistema locale.
Tipologia
- Denial of Service
- Information Disclosure
Descrizione e potenziali impatti
La vulnerabilità, tracciata tramite la CVE-2026-3008 – di tipo “ String Injection ” e con CVSS v4.0 pari a 10 – interessa il pannello “Find Results” di Notepad++ 8.9.3 e in particolare la gestione delle stringhe localizzate provenienti dal file nativeLang.xml . Nel dettaglio, il problema risiede nelle modalità con cui Notepad++ inizializza il pannello dei risultati di ricerca: durante la formattazione dell’etichetta che indica il numero di risultati trovati, l’applicazione recupera il valore dell’attributo <find-result-hits> dal file nativeLang.xml e lo utilizza direttamente come stringa di formato in una chiamata alla funzione Windows wsprintfW , senza alcuna validazione preventiva e senza fornire parametri variadici [1] aggiuntivi. Poiché wsprintfW interpreta i caratteri di formato presenti nella stringa, un attaccante che abbia la possibilità di manipolare il file nativeLang.xml (ad esempio distribuendo un language pack apparentemente legittimo ma alterato) può inserire specificatori come %s o %08lx , al fine di compromettere la disponibilità del servizio o accedere a informazioni sensibili presenti nei registri e nello stack del processo Notepad++ in esecuzione sul sistema locale.
Prodotti e versioni affette
- Notepad++, versione 8.9.3
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.
[1] I parametri variadici sono gli argomenti che una funzione di formattazione utilizza per sostituire gli specificatori presenti nella stringa di formato. Nel caso della CVE‑2026‑3008, Notepad++ invoca wsprintfW passando una stringa controllabile come format string senza fornire i corrispondenti parametri variadici, causando l’interpretazione di dati residui nei registri e nello stack
Riferimenti
- https://nvd.nist.gov/vuln/detail/cve-2026-3008
- https://community.notepad-plus-plus.org/topic/27500/notepad-v8-9-4-release-candidate
- https://notepad-plus-plus.org/downloads
CVE
| CVE-ID |
|---|
| CVE-2026-3008 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 27-04-2026 | 27/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
27 Aprile 2026, 13:33