https://cyberveille.ch/tags/cve-2026-48770/ Recent content in CVE-2026-48770 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-notepad-8-9-6-1-corrige-trois-vulnerabilites-dont-une-rce-critique-via-config-xml/ Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-notepad-8-9-6-1-corrige-trois-vulnerabilites-dont-une-rce-critique-via-config-xml/ <p>📰 <strong>Source</strong> : The Cyber Express | <strong>Date de publication</strong> : 29 mai 2026 | <strong>Date de divulgation des CVE</strong> : 26 mai 2026</p> <p>Les développeurs de <strong>Notepad++</strong> ont publié la version <strong>8.9.6.1</strong> pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu&rsquo;à <strong>8.9.6</strong>. Les failles ont été divulguées le 26 mai 2026.</p> <p>🔴 <strong>CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection)</strong></p> <p>La vulnérabilité la plus sévère réside dans le traitement du fichier <strong>config.xml</strong>, spécifiquement le paramètre <code>&lt;GUIConfig name=&quot;commandLineInterpreter&quot;&gt;</code>. Ce paramètre est lu sans validation, sans vérification d&rsquo;intégrité et sans restriction par liste blanche. Lorsqu&rsquo;un utilisateur active la fonctionnalité <strong>&ldquo;Open Containing Folder in cmd&rdquo;</strong>, l&rsquo;application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l&rsquo;exécutable attendu par un programme arbitraire. Un <strong>proof-of-concept</strong> a démontré l&rsquo;exécution de <code>calc.exe</code> à la place de l&rsquo;invite de commandes. La faille présente une <strong>faible complexité d&rsquo;attaque</strong> et <strong>ne nécessite pas de privilèges élevés</strong>.</p>