📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026

Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026.

🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection)

La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés.

⚠️ Vecteurs d’attaque identifiés pour CVE-2026-48778 :

  • Modification directe de %APPDATA%\Notepad++\config.xml
  • Distribution de fichiers de raccourcis malveillants exploitant le paramètre -settingsDir
  • Empoisonnement de chemins de configuration synchronisés dans le cloud
  • Ingénierie sociale pour faire extraire des archives malveillantes dans les répertoires AppData

🟠 CVE-2026-48770 — Crash / Déni de service

Cette vulnérabilité est déclenchée par des structures malformées et peut provoquer des conditions de déni de service perturbant le fonctionnement normal de l’application.

🟠 CVE-2026-48800 — Exécution de code arbitraire via shortcuts.xml

Cette faille est liée à un traitement inapproprié du fichier shortcuts.xml, exposant une surface d’attaque similaire à CVE-2026-48778 via les fichiers de configuration.

🎯 Contexte d’impact : Notepad++ étant largement déployé dans les environnements de développement, d’administration système et en entreprise, l’exploitation via des fichiers de configuration manipulés représente un risque significatif.

📋 Type d’article : Rapport de vulnérabilité / annonce de patch. But principal : informer les utilisateurs et organisations de la disponibilité du correctif et des détails techniques des vulnérabilités corrigées.

🧠 TTPs et IOCs détectés

TTP

  • T1574 — Hijack Execution Flow (Privilege Escalation)
  • T1565.001 — Stored Data Manipulation (Impact)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • CVEs : CVE-2026-48770NVD · CIRCL
  • CVEs : CVE-2026-48778NVD · CIRCL
  • CVEs : CVE-2026-48800NVD · CIRCL
  • Chemins : %APPDATA%\Notepad++\config.xml

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ thecyberexpress.com — source non référencée (0pts)
  • ✅ 7398 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/3 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://thecyberexpress.com/notepad-cve-2026-48770-vulnerability/