PT-2026-5735 · Notepad++ · Notepad++

Publicado

2025-12-09

·

Atualizado

2026-04-22

·

CVE-2025-15556

CVSS v4.0

7.7

Alta

VetorAV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Notepad++ anteriores à 8.8.9
Descrição O atualizador WinGUp do Notepad++ possui uma falha na maneira como verifica a integridade das atualizações. Isso permite que um atacante capaz de interceptar ou redirecionar o tráfego de atualização faça com que o atualizador baixe e execute um instalador malicioso, resultando em execução arbitrária de código com os privilégios do usuário. Esta falha tem sido ativamente explorada em ataques, conforme destacado pela CISA. A vulnerabilidade origina-se da falta de verificação criptográfica dos metadados de atualização e dos instaladores baixados. Atacantes podem potencialmente usar técnicas de man-in-the-middle (MitM) ou DNS spoofing para redirecionar usuários para servidores de atualização fraudulentos e entregar instaladores trojanizados.
Recomendações As versões anteriores à 8.8.9 devem ser atualizadas para a versão 8.8.9 ou superior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2025-15900
CVE-2025-15556

Produtos afetados

Notepad++