Notepad++ 8.9.6.1 corrige trois vulnérabilités dont une RCE critique via config.xml
📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026 Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026. 🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection) La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés. ...