Notepad++

📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026 Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026. 🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection) La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés. ...

Selon Unit 42 (Palo Alto Networks), entre juin et décembre 2025, l’infrastructure d’hébergement officielle de Notepad++ a été compromise par le groupe étatique Lotus Blossom, permettant un détournement du trafic vers le serveur d’update et une distribution sélective de mises à jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, télécoms, infrastructures critiques), avec une extension observée vers l’Amérique du Sud, les États-Unis et l’Europe sur des secteurs variés (cloud, énergie, finance, gouvernement, manufacturing, développement logiciel). Cette attaque de la chaîne d’approvisionnement s’appuie sur une capacité AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et développeurs. ...

🔍 Contexte Document publié le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), émanant de l’ancien fournisseur d’hébergement. Ce document partage des indicateurs de compromission (IOCs) observés dans l’environnement d’hébergement lors de l’incident impliquant une mise à jour malveillante de Notepad++. L’hébergeur précise ne pas avoir hébergé la mise à jour malveillante elle-même et ne pas avoir de visibilité sur la chaîne d’attaque complète ni sur l’impact pour les utilisateurs finaux. ...

Selon GBHackers Security, une campagne sophistiquée attribuée au groupe criminel BlackCat a été mise au jour par CNCERT et Microstep Online, visant des internautes via des sites factices de téléchargement Notepad++ optimisés pour les moteurs de recherche. La campagne s’appuie sur des faux sites Notepad++ mis en avant par des techniques de SEO poisoning afin de tromper les utilisateurs et les pousser à télécharger des paquets logiciels piégés. Une fois exécutés, ces paquets déploient des chevaux de Troie à porte dérobée destinés à l’exfiltration et au vol de données 🎯. L’opération est décrite comme coordonnée et sophistiquée, ciblant des utilisateurs « grand public » via la recherche en ligne. ...

Source: Notepad++ (notepad-plus-plus.org) — Le 27 décembre 2025, le projet annonce Notepad++ 8.9, une version axée sur des améliorations de sécurité et des correctifs. 🔐 Signature de code: l’usage du certificat auto-signé est abandonné au profit d’un certificat légitime GlobalSign pour signer les binaires. Les utilisateurs ayant installé le certificat racine auto-signé précédemment sont fortement invités à le retirer. 📝 Journalisation sécurité des mises à jour: un journal d’erreurs de sécurité est désormais généré automatiquement durant la mise à jour. En cas d’échec lié à une signature ou à la vérification de certificat, le fichier «%LOCALAPPDATA%\Notepad++\log\securityError.log» permet d’identifier le problème et de le signaler au bug tracker de Notepad++. ...

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...