PT-2026-5735 · Notepad++ · Notepad++
Publicado
2025-12-09
·
Atualizado
2026-04-22
·
CVE-2025-15556
CVSS v4.0
7.7
Alta
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Notepad++ anteriores à 8.8.9
Descrição
O atualizador WinGUp do Notepad++ possui uma falha na maneira como verifica a integridade das atualizações. Isso permite que um atacante capaz de interceptar ou redirecionar o tráfego de atualização faça com que o atualizador baixe e execute um instalador malicioso, resultando em execução arbitrária de código com os privilégios do usuário. Esta falha tem sido ativamente explorada em ataques, conforme destacado pela CISA. A vulnerabilidade origina-se da falta de verificação criptográfica dos metadados de atualização e dos instaladores baixados. Atacantes podem potencialmente usar técnicas de man-in-the-middle (MitM) ou DNS spoofing para redirecionar usuários para servidores de atualização fraudulentos e entregar instaladores trojanizados.
Recomendações
As versões anteriores à 8.8.9 devem ser atualizadas para a versão 8.8.9 ou superior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Notepad++