Lỗ hổng CVE trong Notepad++ vừa được vá trong bản v8.9.6.1, với ba lỗi bảo mật ảnh hưởng đến khả năng thực thi lệnh của ứng dụng trên Windows. Hai trong số đó là lỗi có thể dẫn đến remote code execution, cho phép kẻ tấn công chạy chương trình độc hại trên máy nạn nhân nếu khai thác thành công.
Cập nhật bản vá cho lỗ hổng CVE trong Notepad++
Nhóm phát triển Notepad++ đã phát hành v8.9.6.1 vào ngày 26/05/2026 để khắc phục cả ba lỗi. Người dùng đang chạy v8.9.6 hoặc phiên bản cũ hơn được khuyến nghị cập nhật ngay để giảm nguy cơ bảo mật.
Thông tin phát hành chính thức có thể xem tại trang Notepad++ v8.9.6.1.
Chi tiết lỗ hổng CVE-2026-48778
CVE-2026-48778 là lỗi nghiêm trọng nhất trong nhóm lỗ hổng CVE này. Lỗi nhắm vào thẻ <GUIConfig name="commandLineInterpreter"> trong tệp config.xml của Notepad++.
Giá trị trong thẻ này được đọc qua hàm NppXml::value() trong Parameters.cpp và được lưu lại mà không có kiểm tra hợp lệ, không có whitelist, và cũng không có kiểm tra chữ ký số. Điều này tạo ra bề mặt tấn công rõ ràng cho cảnh báo CVE liên quan đến thực thi mã.
Cơ chế khai thác
Khi người dùng chọn File → Open Containing Folder → cmd, ứng dụng tạo một đối tượng lệnh từ chuỗi do kẻ tấn công kiểm soát và chuyển trực tiếp sang ShellExecute(). Nếu executable độc hại đã được đặt sẵn, Notepad++ sẽ thực thi nó thay vì mở Command Prompt như dự kiến.
Một proof-of-concept đơn giản đặt calc.exe vào thẻ XML đã khiến Windows Calculator được khởi chạy, xác nhận khả năng thực thi mã từ xa trên hệ thống bị tác động.
<GUIConfig name="commandLineInterpreter">calc.exe</GUIConfig>Điều kiện khai thác
- Tệp cấu hình
config.xmlbị thay đổi bởi tác nhân có quyền ghi. - Người dùng kích hoạt chức năng mở thư mục chứa và gọi lệnh
cmd. - Đường dẫn thực thi trỏ đến chương trình do kẻ tấn công kiểm soát.
CVE-2026-48800 và các lỗi liên quan
CVE-2026-48800 có mô hình khai thác tương tự nhưng nhắm vào shortcuts.xml thay vì config.xml. Đây vẫn là một lỗ hổng CVE có thể dẫn đến hành vi thực thi không mong muốn nếu dữ liệu cấu hình bị thao túng.
Ba lỗi này đã được vá trong Notepad++ v8.9.6.1. Khi xem xét theo hướng an toàn thông tin, điểm đáng chú ý là ứng dụng xử lý các tham số shell từ file cấu hình mà thiếu cơ chế xác thực đầu vào phù hợp.
Khuyến nghị giảm thiểu rủi ro bảo mật
Nhà nghiên cứu bảo mật đề xuất Notepad++ nên áp dụng whitelist cho các command-line interpreter được phép, ví dụ cmd.exe và powershell.exe, đồng thời xác thực đường dẫn thực thi trong các thư mục hệ thống tin cậy. Một hộp thoại xác nhận trước khi chạy bất kỳ shell command nào cũng giúp giảm rủi ro bảo mật.
Trong môi trường doanh nghiệp, việc cập nhật bản vá cần được ưu tiên, đặc biệt khi người dùng làm việc với thư mục cấu hình dùng chung hoặc thư mục được đồng bộ qua cloud. Những môi trường này làm tăng khả năng cấu hình bị chỉnh sửa ngoài ý muốn.
Phạm vi ảnh hưởng của lỗ hổng CVE
Lỗ hổng CVE này ảnh hưởng đến các hệ thống đang sử dụng Notepad++ phiên bản v8.9.6 hoặc cũ hơn. Nếu attacker kiểm soát được file cấu hình, họ có thể chuyển hướng tiến trình hợp lệ sang một binary khác và tạo ra remote code execution.
Vì hành vi được kích hoạt từ thao tác hợp lệ của người dùng, việc phát hiện xâm nhập có thể khó hơn so với các cuộc tấn công khai thác lỗi mạng truyền thống. Do đó, quản trị viên cần kiểm soát chặt thay đổi trên các tệp cấu hình của ứng dụng.
Tham chiếu kỹ thuật
Thông tin về nhóm lỗi và advisory liên quan có thể đối chiếu tại GitHub security advisory của dự án: GHSA-7hm3-wp5q-ccv9. Đây là nguồn hữu ích để theo dõi chi tiết về cảnh báo CVE, phạm vi ảnh hưởng và bản vá tương ứng.
Trong thực tế triển khai, ưu tiên nên dành cho các máy trạm có quyền ghi vào thư mục cấu hình hoặc các môi trường chia sẻ tệp đồng bộ, vì đây là điều kiện thuận lợi để khai thác zero-day hoặc tái sử dụng kỹ thuật tấn công tương tự khi bản vá chưa được áp dụng.
