| 細節描述: |
Notepad++發布8.9.7版,修補5個弱點並強化安裝程式安全性。
CVE-2026-54758 : CVSS 7.8 此弱點位於 expandNppEnvironmentStrs() 函式中,當 Notepad++ 展開環境變數字串時,缺少充分的邊界檢查,可能導致固定大小的堆疊緩衝區被超長輸入覆寫。攻擊成功後可能造成程式異常終止、記憶體損毀,甚至在特定條件下進一步執行任意程式碼。 CVE-2026-57233 : CVSS 8.1 此弱點存在於 Notepad++ 更新元件 WinGUp 的 ZIP 解壓縮流程。由於程式在解壓縮插件或更新套件時,未妥善驗證檔案路徑是否位於目標目錄內,攻擊者可透過包含路徑穿越字元(如 ..\)的惡意 ZIP 檔,將檔案寫入任意位置,進而覆寫 DLL 或其他重要檔案,最終可能導致惡意程式執行。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php |