CVE-2026-42214

Nome do Software Vulnerável e Versões Afetadas Notepad Next versões anteriores a 0.14

Descrição A função detectLanguageFromExtension() interpola a extensão de um arquivo diretamente em um script Lua sem sanitização. Um invasor pode criar um nome de arquivo cuja extensão contenha código Lua, que é executado automaticamente quando a vítima abre o arquivo no Notepad Next. Como a função luaL openlibs() é chamada incondicionalmente, as bibliotecas os, io e package completas estão disponíveis para o código injetado, permitindo a execução de comandos arbitrários.

Recomendações Atualize para a versão 0.14.