
Notepad++ v8.9.7 aborda cinco vulnerabilidades críticas, incluyendo una inyección de comandos en PowerShell durante la instalación que permite ejecución arbitraria de código. Los fallos afectan componentes clave como el instalador, el gestor de sesiones y el actualizador, con riesgos que incluyen corrupción de memoria, escritura arbitraria de archivos y bypass de validaciones de rutas. La explotación podría ocurrir mediante paquetes de instalación manipulados o ataques de ingeniería social, comprometiendo sistemas completos.
CVE y severidad
| CVE | Componente | Vulnerabilidad | Impacto |
|---|---|---|---|
| CVE-2026-52886 | Función core (expandNppEnvironmentStrs) | Desbordamiento de búfer en la pila (stack buffer overflow) | Corrupción de memoria y posible ejecución de código (RCE) |
| CVE-2026-54758 | Actualizador WinGUp | Path traversal tipo Zip Slip | Sobrescritura de archivos arbitrarios durante la extracción de la actualización |
| CVE-2026-57233 | Gestión de sesiones (session.xml) | Bypass de validación de ruta vía backupFilePath (starts_with) |
Evasión de validación de rutas |
| No asignado | Instalador | Inyección de comandos PowerShell | Ejecución de comandos arbitrarios (fallo más severo) |
| No asignado | Sistema de macros (shortcuts.xml) | Bypass de integridad HMAC | Ejecución no autorizada de macros |
Nota: Los dos últimos problemas (inyección PowerShell y bypass de HMAC) aún no disponen de CVE público en la nota oficial. La inyección PowerShell es la de mayor riesgo según el fabricante.
Productos afectados
Notepad++ versión 8.9.6 o anterior en Windows.
Solución
Actualizar Notepad++ a la versión 8.9.7 o superior, descargando el instalador desde el sitio oficial y verificando su firma digital antes de ejecutarlo.
Importante: el actualizador automático de Notepad++ desplegará esta versión en un plazo de hasta dos semanas (si no se detectan regresiones), por lo que se recomienda realizar la actualización manual de inmediato para obtener protección sin esperar al despliegue automático.
Recomendaciones
- Priorizar la actualización manual en estaciones administrativas y de desarrollo, y en cualquier equipo donde el editor interactúe con archivos no confiables o flujos automatizados.
- Descargar el instalador únicamente desde el sitio oficial de Notepad++ y validar su firma digital, dado que el vector principal es un instalador manipulado o falsificado.
- Evitar importar archivos session.xml, shortcuts.xml o paquetes de actualización de fuentes no confiables.
- Monitorear procesos inusuales iniciados por notepad++.exe, el instalador o powershell.exe (especialmente powershell.exe lanzado por el proceso de instalación).
- Restringir mediante controles de aplicación (application control / WDAC / AppLocker) la ejecución de scripts y binarios no autorizados.
- Respaldar las configuraciones antes de actualizar.
