In de populaire open-source teksteditor Notepad++ zijn twee kwetsbaarheden ontdekt die lokale aanvallers in staat stellen om willekeurige code uit te voeren op Windows-systemen. Deze beveiligingslekken, met een hoge ernstscore van CVSS 7.8, worden veroorzaakt doordat de editor XML-configuratiebestanden zonder voldoende validatie uitleest en verwerkt.

De kwetsbaarheden, geregistreerd als CVE-2026-48778 en CVE-2026-48800, treffen alle versies tot en met 8.9.6 van Notepad++. Op dezelfde dag dat de problemen werden bekendgemaakt, bracht de ontwikkelaar een update uit in versie 8.9.6.1 waarin deze lekken zijn verholpen, samen met een derde minder ernstige bug die tot crashes kan leiden, CVE-2026-48770, zoals in de release notes is vermeld.

De twee code-uitvoeringsfouten delen een ontwerpzwakte: Notepad++ slaat gebruikersinstellingen, zoals het pad naar de opdrachtregelinterpreter en gebruikersgedefinieerde commando's, op in XML-bestanden binnen het gebruikersprofiel. De editor leest deze bestanden uit en voert de daarin gevonden waarden uit zonder te controleren op schadelijke inhoud, aldus een GitHub security advisory.

De meest zorgwekkende kwetsbaarheid, CVE-2026-48800, richt zich op het bestand dat de gebruikersgedefinieerde Run-menu-items bevat. Een aanvaller die dit bestand kan aanpassen, kan een malafide opdracht toevoegen die wordt uitgevoerd zodra de gebruiker deze in het Run-menu selecteert. Deze opdrachten krijgen legitiem ogende namen, waardoor ze lijken op normale snelkoppelingen en persistent blijven, ook na herstart van het systeem. Een proof of concept toont een malafide menu-item genaamd "System Update Check" dat de Windows rekenmachine opent. Deze kwetsbaarheid werd gemeld door de Italiaanse onderzoeker Michele Piccinni.

De tweede kwetsbaarheid, CVE-2026-48778, betreft het bestand config.xml waarin het pad naar de opdrachtregelinterpreter wordt opgeslagen. Notepad++ accepteert hier elke waarde zonder validatie, waardoor een aanvaller het pad kan vervangen door een kwaadaardig uitvoerbaar bestand dat wordt gestart wanneer de gebruiker een map opent in de opdrachtprompt. Ook deze kwetsbaarheid werd door Piccinni gemeld.

Beide kwetsbaarheden vereisen dat een aanvaller al schrijfrechten heeft op de betreffende XML-bestanden in de gebruikersprofielmap of dat de gebruiker wordt misleid om Notepad++ te starten met een gemanipuleerde configuratiemap. Dit kan bijvoorbeeld via lokale malware, kwaadaardige snelkoppelingen, cloudgesynchroniseerde instellingen of social engineering gebeuren.

De derde gepatchte kwetsbaarheid, CVE-2026-48770, betreft een bug waarbij een lokaal proces een foutief inter-procesbericht kan sturen dat Notepad++ laat crashen. Deze bug heeft een lagere ernstscore van CVSS 5.0 en leidt niet tot code-uitvoering.

Gebruikers van Notepad++ wordt aangeraden om de gepatchte versie 8.9.6.1 te downloaden via de officiële downloadpagina. Naast de reguliere EXE-installer is er ook een MSI-installer beschikbaar voor enterprise-omgevingen, die in november 2025 werd toegevoegd na toenemende vraag vanuit zakelijke gebruikers.