Lỗ hổng CVE trong Notepad++ đã được xác định, ảnh hưởng đến trình soạn thảo văn bản mã nguồn mở được sử dụng rộng rãi bởi lập trình viên và quản trị viên hệ thống. Vấn đề liên quan đến CVE-2026-3008, có thể khiến tác nhân từ xa làm treo ứng dụng hoặc trích xuất thông tin địa chỉ bộ nhớ từ hệ thống bị ảnh hưởng.
Lỗ hổng CVE trong Notepad++ và tác động kỹ thuật
CVE-2026-3008 là một lỗi string injection nằm trong chức năng FindInFiles của Notepad++. Điểm gây lỗi xuất phát từ file cấu hình nativeLang.xml, khi trường "find-result-hits" chứa ký tự định dạng %s. Trong quá trình tìm kiếm, ứng dụng có thể xử lý chuỗi không đúng cách và kích hoạt hành vi ngoài dự kiến.
Lỗ hổng CVE này có thể dẫn đến hai kiểu ảnh hưởng chính: denial-of-service (DoS) do ứng dụng bị crash, hoặc memory disclosure khi thông tin địa chỉ bộ nhớ bị rò rỉ. Dù rò rỉ bộ nhớ thường được xem là mức độ thấp trong một số bối cảnh, dữ liệu này có thể được kết hợp với các khai thác khác để vượt qua cơ chế giảm thiểu như Address Space Layout Randomization (ASLR).
CVE liên quan
Bản vá cũng ghi nhận thêm CVE-2026-6539, cho thấy cùng một cập nhật đã xử lý nhiều vấn đề bảo mật liên quan. Điều này củng cố rằng lỗ hổng CVE không chỉ giới hạn ở lỗi crash, mà còn bao gồm các rủi ro liên quan đến xử lý chuỗi và rò rỉ thông tin.
Ảnh hưởng đến hệ thống và người dùng
Lỗ hổng CVE này có thể làm gián đoạn quy trình làm việc của lập trình viên, quản trị viên hệ thống và nhà phân tích bảo mật, đặc biệt khi Notepad++ được dùng hằng ngày trong môi trường vận hành. Người dùng chạy các phiên bản cũ hơn cần xem như đang ở trạng thái rủi ro tương đương và áp dụng bản vá ngay.
Trong bối cảnh triển khai rộng rãi trên máy trạm doanh nghiệp, cảnh báo CVE này cần được đưa vào chu trình quản lý bản vá tiêu chuẩn. Các môi trường sử dụng cấu hình nativeLang.xml tùy biến cần ưu tiên kiểm tra sớm hơn vì đây là thành phần trực tiếp liên quan đến lỗi.
Bản vá bảo mật và khuyến nghị cập nhật
Phiên bản Notepad++ 8.9.4 đã được phát hành để khắc phục trực tiếp CVE-2026-3008 và CVE-2026-6539. Bản sửa lỗi tập trung vào việc xử lý chính xác chuỗi định dạng trong tính năng FindInFiles khi dữ liệu từ file nativeLang.xml được phân tích cú pháp.
Thông tin chi tiết về bản sửa lỗi đã được công bố công khai trên kho GitHub chính thức của dự án: https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17960. Tham chiếu phát hành bản vá có thể xem tại trang tải xuống chính thức: https://notepad-plus-plus.org/downloads/v8.9.4/.
Khuyến nghị cập nhật bản vá bảo mật ngay lập tức cho toàn bộ máy trạm và hệ thống đang sử dụng Notepad++ bản cũ. Tài liệu cảnh báo kỹ thuật cũng đã được công bố tại https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2026-044/.
Điều kiện bị ảnh hưởng
- Lỗ hổng CVE ảnh hưởng đến các phiên bản Notepad++ trước bản 8.9.4.
- Rủi ro tăng khi sử dụng custom nativeLang.xml có trường
"find-result-hits"chứa%s. - Ứng dụng có thể crash hoặc tiết lộ thông tin bộ nhớ trong quá trình tìm kiếm.
- Dữ liệu rò rỉ bộ nhớ có thể hỗ trợ các chuỗi khai thác tiếp theo, đặc biệt khi kết hợp với các kỹ thuật vượt qua ASLR.
Chi tiết kỹ thuật về lỗi FindInFiles
Lỗi nằm trong cách FindInFiles xử lý chuỗi hiển thị kết quả tìm kiếm. Khi file ngôn ngữ tùy chỉnh chèn ký tự định dạng không an toàn, trình xử lý chuỗi có thể đi vào trạng thái không mong muốn. Đây là mẫu lỗi điển hình trong các lỗ hổng CVE liên quan đến format string và quản lý bộ nhớ.
Không có exploit công khai nào được cung cấp trong nội dung gốc, nhưng mô tả kỹ thuật cho thấy hướng tác động chính là remote code execution gián tiếp thông qua chuỗi khai thác, hoặc tối thiểu là phát hiện tấn công qua sự cố crash bất thường của ứng dụng. Trong thực tế vận hành, việc cập nhật bản vá bảo mật vẫn là biện pháp ưu tiên.
nativeLang.xml
"find-result-hits" = "%s"
Notepad++ FindInFiles
- Parse format string
- Unexpected behavior
- Application crash / memory disclosureVới các tổ chức đang quản lý rủi ro an toàn thông tin, lỗ hổng CVE này nên được gắn nhãn là bản vá cần triển khai theo mức ưu tiên cao. Việc trì hoãn cập nhật có thể tạo ra nguy cơ bảo mật liên quan đến gián đoạn công việc và rò rỉ dữ liệu bộ nhớ từ tiến trình ứng dụng.
