Auf den Punkt: Zwei Notepad++-Lücken ermöglichen Codeausführung durch XML-Manipulation. Sie wurden in Version 8.9.6.1 gepatched. Angreifer benötigen bereits Zugriff auf das Benutzerverzeichnis.
Zwei kritische Schwachstellen in Notepad++ (CVE-2026-48778 und CVE-2026-48800) ermöglichen es lokalen Angreifern, beliebige Befehle auf Windows-Systemen auszuführen, indem sie die XML-Konfigurationsdateien des Editors manipulieren. Beide Lücken wurden mit dem CVSS-Score 7.8 als „High" bewertet und betreffen alle Versionen bis einschließlich 8.9.6 – wurden aber am selben Tag in Version 8.9.6.1 behoben.
Beide Sicherheitslücken basieren auf einem gemeinsamen Designfehler: Notepad++ speichert Benutzereinstellungen wie den Pfad zur Befehlszeilenschale und benutzerdefinierte Befehle in XML-Dateien im Benutzerprofilverzeichnis. Der Editor liest diese Werte aus und führt sie als Befehle aus, ohne ihren Inhalt zu prüfen. Dadurch kann jeder, der Schreibzugriff auf die XML-Dateien besitzt, beliebige Programme ausführen.
Die schwerwiegendere Lücke CVE-2026-48800 zielt auf die Datei mit benutzerdefinierten Einträgen des Ausführungsmenüs ab. Notepad++ liest aus der Datei „shortcuts.xml“ und akzeptiert deren Inhalte ohne Validierung. Ein Angreifer kann dort Einträge einfügen, die beim Anklicken beliebige ausführbare Dateien starten – mit täuschend echten Namen wie „Systemaktualisierung“. Diese Methode ermöglicht persistente Angriffe, da die eingeführten Befehle auch nach Neustarts erhalten bleiben.
Die zweite Lücke CVE-2026-48778 betrifft die Datei „config.xml“, in der der Pfad zur Befehlszeilenschale gespeichert wird. Ein Angreifer kann diesen Pfad manipulieren und jede beliebige ausführbare Datei anstelle der Windows-Eingabeaufforderung starten.
Ein dritter Fehler CVE-2026-48770 mit CVSS-Score 5.0 führt zu Abstürzen des Editors bei manipulierten Prozessmeldungen.
Die Schwachstellen erfordern bereits bestehenden Schreibzugriff auf das AppData-Verzeichnis oder können durch Malware, manipulierte Verknüpfungen oder Social Engineering ausgenutzt werden. Betroffene Nutzer sollten auf Version 8.9.6.1 aktualisieren, die von der Projekt-Download-Seite verfügbar ist.
Quelle: www.csoonline.com