Notepad++ ha publicado una actualización de seguridad que corrige múltiples vulnerabilidades, incluyendo fallos que podrían permitir ejecución de código al procesar archivos de configuración XML manipulados. Las vulnerabilidades afectan principalmente los archivos config.xml y shortcuts.xml, utilizados para almacenar configuraciones y accesos rápidos del editor.
La versión v8.9.6.1, publicada el 26 de mayo de 2026, corrige estos problemas y se recomienda su instalación inmediata para reducir riesgos de compromiso en sistemas Windows.
CVE y severidad
| CVE ID | Severidad | Descripción |
|---|---|---|
| CVE-2026-48770 | Alta | Denegación de servicio (crash) mediante estructura XML malformada |
| CVE-2026-48778 | Crítica | Ejecución de código mediante manipulación de config.xml |
| CVE-2026-48800 | Crítica | Ejecución de código mediante manipulación de shortcuts.xml |
Productos afectados
| Producto | Versiones afectadas | Plataforma |
|---|---|---|
| Notepad++ | v8.9.6 y anteriores | Windows |
Solución
Actualizar a Notepad++ versión v8.9.6.1 o superior.
Recomendaciones
Priorizar la aplicación inmediata del parche en entornos empresariales, especialmente donde se utilizan directorios de configuración compartidos o sincronizados en la nube. Se sugiere validar rutas ejecutables, emplear listas blancas para intérpretes de línea de comandos permitidos y solicitar confirmación al usuario antes de ejecutar comandos shell.