El editor de texto Notepad++ corrigió una grave vulnerabilidad en su mecanismo de actualización que permitía a atacantes interceptar el tráfico de red y sustituir actualizaciones legítimas por ejecutables maliciosos. Esta falla afectaba al actualizador integrado WinGUp, que en ciertos casos descargaba instaladores comprometidos tras redireccionar las solicitudes a servidores maliciosos. La debilidad radicaba en la insuficiente validación de la integridad y autenticidad de los archivos descargados, exponiendo a los usuarios a ataques tipo man-in-the-middle y comprometiendo la cadena de suministro.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Notepad++ Community | Notepad++ | WinGUp (actualizador integrado) | Previas a la 8.8.7 |
Solución
Actualizar a Notepad++ versión 8.8.9 o superior.
Recomendaciones
Se recomienda priorizar la actualización inmediata a la versión más reciente para evitar la ejecución de código malicioso por medio del actualizador. Descargar únicamente desde el sitio oficial de Notepad++ y eliminar certificados raíz personalizados previamente instalados para reducir anclajes de confianza innecesarios.