Die Schwachstelle betrifft den quelloffenen Quelltext-Editor Notepad++. Sie liegt in der Verarbeitung benutzerdefinierter Befehle, die über die Konfiguration für Tastenkürzel und eigene Menüeinträge festgelegt werden. Der dort hinterlegte Befehlstext wird beim Einlesen ohne jede Prüfung übernommen und unverändert als auszuführender Programmpfad gespeichert. Klickt der Anwender den zugehörigen Eintrag im Ausführen-Menü an, wird dieser Text unmittelbar an die Windows-Ausführungsfunktion übergeben und gestartet. Dadurch kann ein Angreifer, der den Inhalt der Konfiguration beeinflussen kann, einen beliebigen eigenen Befehl einschleusen, der dann mit den Rechten des Anwenders ausgeführt wird. Besonders heikel ist, dass der eingeschleuste Befehl als ganz normaler Menüeintrag im Ausführen-Menü erscheint und dadurch unauffällig bleibt. Der Eintrag wird bei jeder Nutzung des Editors erneut angeboten, was sich als dauerhafter Weg zum Einnisten im System eignet.
CVE-2026-48800
7,8
HIGH
CVSS Basis-Score
Beschreibung