Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-48778

7,8 HIGH CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft den freien Quelltexteditor Notepad++. Beim Programmstart liest Notepad++ aus seiner Konfiguration den Eintrag für den zu verwendenden Kommandozeilen-Interpreter aus und übernimmt diesen Wert ungeprüft: Es findet weder eine Validierung noch ein Abgleich mit einer Positivliste zulässiger Programme noch eine Prüfung digitaler Signaturen statt. Ruft der Nutzer anschließend die Funktion auf, mit der sich der Ordner der aktuellen Datei in einer Eingabeaufforderung öffnen lässt, verwendet Notepad++ genau diesen hinterlegten Wert als Pfad des auszuführenden Programms und übergibt ihn an eine Systemfunktion, die das angegebene Programm startet. Ein Angreifer, der den betreffenden Konfigurationswert manipulieren kann, bringt Notepad++ so dazu, statt der erwarteten Eingabeaufforderung ein von ihm bestimmtes Programm auszuführen. Der eingeschleuste Befehl läuft dann im Kontext des Nutzers, sobald dieser die genannte Menüfunktion auslöst. Betroffen sind Anwender des Editors, deren Konfigurationsdatei ein Angreifer verändern konnte.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln