弱點通告:Notepad++ 發布更新以解決安全性弱點,建議請使用者儘速評估更新!
2026-07-17
風險等級: 高度威脅
摘  要: 弱點通告:Notepad++ 發布更新以解決安全性弱點,建議請使用者儘速評估更新!
影響系統:
  • Notepad++ 8.9.7 之前版本
  • 解決辦法: 建議請使用者評估更新到最新版本: Notepad++ 8.9.7 (含)之後版本
    細節描述: Notepad++發布8.9.7版,修補5個弱點並強化安裝程式安全性。

    CVE-2026-54758 : CVSS 7.8
    此弱點位於 expandNppEnvironmentStrs() 函式中,當 Notepad++ 展開環境變數字串時,缺少充分的邊界檢查,可能導致固定大小的堆疊緩衝區被超長輸入覆寫。攻擊成功後可能造成程式異常終止、記憶體損毀,甚至在特定條件下進一步執行任意程式碼。
    CVE-2026-57233 : CVSS 8.1
    此弱點存在於 Notepad++ 更新元件 WinGUp 的 ZIP 解壓縮流程。由於程式在解壓縮插件或更新套件時,未妥善驗證檔案路徑是否位於目標目錄內,攻擊者可透過包含路徑穿越字元(如 ..\)的惡意 ZIP 檔,將檔案寫入任意位置,進而覆寫 DLL 或其他重要檔案,最終可能導致惡意程式執行。

    HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
    https://hisecure.hinet.net/secureinfo/hotnews.php
    參考資訊: iThome