Deux failles dans l’éditeur open source largement utilisé peuvent être déclenchées par des fichiers de configuration manipulés, provoquant des mises à jour de sécurité de la part des responsables du projet.
Deux vulnérabilités d’exécution de code arbitraire dans Notepad++ permettent aux attaquants locaux d’exécuter les commandes de leur choix sur des machines Windows en altérant les fichiers de configuration XML de l’éditeur, les deux failles étant classées Élevé à CVSS 7.8.
Les failles, identifiées comme CVE-2026-48778 et CVE-2026-48800, affectent toutes les versions de l’éditeur jusqu’à la 8.9.6 incluse, a indiqué Notepad++ dans une note de version. Cependant, les vulnérabilités ont été corrigées le même jour dans la version 8.9.6.1, aux côtés d’un troisième bug de crash de moindre gravité, CVE-2026-48770, a écrit l’auteur de Notepad ++ Dun Ho dans la note de version.
Les deux failles d’exécution de code partagent une seule faiblesse de conception. Notepad++ stocke les choix de l’utilisateur, tels que le chemin d’accès à l’interpréteur de ligne de commande et la liste des commandes définies par l’utilisateur, dans des fichiers XML dans le répertoire de profil de l’utilisateur. L’éditeur lit ces valeurs et les transmet au système d’exploitation sous forme de commandes sans vérifier ce qu’elles contiennent, selon un avis de sécurité GitHub sur Notepad++ publié le 27 mai.
Toute personne capable d’écrire dans les fichiers XML peut décider de ce que l’éditeur exécute, indique l’avis.
Une porte dérobée qui se cache dans le menu Exécuter
La plus préoccupante des deux failles, CVE-2026-48800, cible le fichier qui contient les entrées du menu Exécuter définies par l’utilisateur.
Notepad++ lit ses commandes définies par l’utilisateur à partir d’un fichier appelé raccourcis.xml et accepte tout ce qu’il y trouve sans validation, indique l’avis. Un attaquant capable d’écrire dans ce fichier peut ajouter une entrée qui lance un exécutable arbitraire lorsque l’utilisateur clique dessus dans le menu Exécuter.
« Les commandes injectées apparaissent avec des noms d’apparence légitime dans le menu Exécuter, ce qui les fait apparaître comme des raccourcis normaux créés par l’utilisateur », indique l’avis. « Cela crée un mécanisme de persistance viable, car les commandes injectées survivent aux redémarrages. »
La preuve de concept publiée par Ho montre une entrée injectée nommée « System Update Check » qui lance la calculatrice Windows. Le chercheur italien Michele Piccinni a signalé la faille.
Un deuxième chemin via l’interpréteur de ligne de commande
Le deuxième bug d’exécution de code, CVE-2026-48778, cible un fichier différent. Notepad++ stocke le chemin d’accès à son interpréteur de ligne de commande dans un fichier appelé config.xml et accepte toute valeur qu’il y trouve comme programme à lancer lorsque l’utilisateur ouvre un dossier dans cmd, indique un avis distinct. Le chemin de l’interprète est stocké « sans aucune validation, liste blanche ou vérification de signature numérique », indique l’avis. Un attaquant qui modifie config.xml peut remplacer n’importe quel exécutable par la véritable invite de commande Windows. Piccinni a également signalé celui-ci.
Aucune des deux failles ne permet à un attaquant d’accéder aux fichiers XML par lui-même, indiquent les avis. Les deux supposent que l’attaquant a déjà la possibilité d’écrire dans le répertoire AppData de l’utilisateur ou peut inciter l’utilisateur à exécuter Notepad++ sur un dossier de paramètres empoisonné, que ce soit via un logiciel malveillant local, un raccourci Windows malveillant, des paramètres synchronisés dans le cloud ou une extraction d’archive d’ingénierie sociale.
La troisième faille corrigée, CVE-2026-48770, suit le même thème d’entrée non contrôlée mais s’arrête avant l’exécution du code. Un processus local dans la même session Windows peut envoyer à l’éditeur un message inter-processus mal formé qui le fait planter de manière fiable, ajoute l’avis. Le bug porte un score CVSS de 5,0.
Un point d’interrogation sur la livraison des correctifs MSI
Les utilisateurs de Notepad++ peuvent télécharger les binaires corrigés 8.9.6.1 à partir de la page de téléchargement du projet, qui propose à la fois le programme d’installation EXE et un programme d’installation MSI pour le déploiement informatique d’entreprise que Ho a ajouté en novembre 2025.
Le MSI fait suite à une demande soutenue des entreprises qui s’est intensifiée après qu’un groupe parrainé par l’État chinois ait détourné l’infrastructure de mise à jour de l’éditeur pendant six mois en 2025 et après que Ho ait renforcé le mécanisme de mise à jour en février avec des contrôles d’intégrité cryptographique.
Les avis recommandaient aux utilisateurs de surveiller le dossier AppData sur les machines exécutant Notepad++ pour détecter les modifications inattendues apportées aux raccourcis.xml et config.xml. La persistance des deux failles ne laisse aucune trace dans le répertoire d’installation ni aucune modification dans le binaire Notepad++ lui-même, indiquent les avis, ce qui signifie que les outils de point final qui examinent uniquement les exécutables le manqueront. Ho n’a publié aucun indicateur de compromis.
