Se han reportado nuevos avisos de seguridad sobre la disponibilidad de pruebas de concepto públicas correspondientes a vulnerabilidades que afectan al software Notepad++, las cuales permitirían a un actor malicioso con acceso local ejecutar código arbitrario, lograr persistencia en el sistema o comprometer la disponibilidad del servicio. Las mismas ya han sido corregidas por el proveedor en su actualización más reciente.
Productos afectados
- Notepad++, versiones anteriores a la 8.9.6.1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-48800: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en el componente UserDefinedCommands. Un actor malicioso con acceso al contexto del usuario local podría modificar este archivo para inyectar comandos arbitrarios que se ejecutarían tras la interacción de la víctima con el menú «Ejecutar», permitiendo la ejecución de código o persistencia sigilosa.
CVE-2026-48778: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en el archivo de configuración config.xml. Debido a la falta de validación en el parámetro commandLineInterpreter, un actor malicioso local podría manipular este valor para ejecutar binarios en lugar del intérprete legítimo del sistema cuando el usuario use funciones de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias