Notepad++ patcht kritische Codeausführungslücken

Außerplanmäßiges Update auf Version 8.9.6.1 Notepad++ patcht kritische Codeausführungslücken

12.06.2026 Von Thomas Joos 3 min Lesedauer

Anbieter zum Thema

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

Die Notepad++-Entwickler liefern ein außerplanmäßiges Update gegen drei Schwachstellen. Zwei erlauben die Ausführung beliebigen Codes über manipulierte Konfigurationsdateien, die dritte legt den Editor lokal lahm. Vollständigen Schutz bietet erst Version 8.9.6.2.

Drei Schwachstellen in Notepad++ erlauben Angreifern die Codeausführung über manipulierte Konfigurationsdateien. Updates auf Version 8.9.6.1 und 8.9.6.2 schließen die Lücken.(Bild: © lucadp - stock.adobe.com) — Drei Schwachstellen in Notepad++ erlauben Angreifern die Codeausführung über manipulierte Konfigurationsdateien. Updates auf Version 8.9.6.1 und 8.9.6.2 schließen die Lücken.
(Bild: © lucadp - stock.adobe.com)

Mit Version 8.9.6.1 vom 26.05.2026 beheben die Entwickler zwei der drei gemeldeten Fehler. Die schwerwiegendsten betreffen die Ausführung beliebigen Codes über config.xml (CVE-2026-48778) und über shortcuts.xml (CVE-2026-48800). CVE-2026-48778 ist nach CVSS 3.1 mit 8.8 als hoch eingestuft, CVE-2026-48800 stuft der Hersteller als kritisch ein, ein offizieller CVSS-Score liegt noch nicht vor. CVE-2026-48800 erfordert ein Update auf Version 8.9.6.2, alle älteren Versionen sind verwundbar. Die dritte Lücke endet in einem lokalen Absturz über eine fehlerhafte Interprozesskommunikation (CVE-2026-48770) und stuft der Hersteller als hoch ein. Für CVE-2026-48778 und CVE-2026-48770 gilt Version 8.9.6 und älter als verwundbar.

Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)

Manipulierte config.xml startet fremde Programme

Der Parameter "commandLineInterpreter" in config.xml gelangt ungeprüft in die interne Verarbeitung. Beim Aufruf "File -> Open Containing Folder -> cmd" erzeugt der Editor ein Kommando aus diesem Wert und übergibt es an ShellExecute. Ein Angreifer hinterlegt darin einen beliebigen Pfad, woraufhin das eingeschleuste Programm anstelle der Kommandozeile anläuft. Ein Proof of Concept demonstriert den Start von calc.exe. Als Angriffswege gelten das direkte Schreiben in %APPDATA%\Notepad++\config.xml unter derselben Benutzerkennung, eine präparierte Verknüpfung mit dem Argument "-settingsDir=", das Vergiften eines Cloud-Sync-Verzeichnisses und das Auspacken eines Archivs ins AppData-Verzeichnis über Social Engineering. Die Lücke fällt unter CWE-78 OS Command Injection und wurde von Michele Piccinni gemeldet.

shortcuts.xml schmuggelt Befehle ins Run-Menü

Der Inhalt eines Command-Tags innerhalb der benutzerdefinierten Kommandos in shortcuts.xml landet ohne Validierung im Speicher. Ein Klick auf den Eintrag im Menü "Run" lässt den Editor ein Kommando bilden und an ShellExecute weiterreichen. Der untergeschobene Befehl erscheint als regulärer Menüpunkt mit frei wählbarem Namen, zum Beispiel "System Update Check", und überdauert einen Neustart. Damit dient er als Persistenzmechanismus. Auch dieser Fehler zählt zu CWE-78 und geht auf Michele Piccinni zurück.

Fehlerhafte WM_COPYDATA-Nachricht stürzt den Editor ab

Ein lokaler Prozess in derselben interaktiven Windows-Sitzung sendet eine fehlerhafte WM_COPYDATA-Nachricht über den Übergabeweg COPYDATA_FULL_CMDLINE. Der Handler liest den Datenzeiger als unbegrenzte, NUL-terminierte Zeichenkette, anstatt die angegebene Länge cbData auszuwerten. Das Resultat ist ein zuverlässiger lokaler Denial of Service, den Windows mit einem APPCRASH-Eintrag und den Ausnahmecodes 0xc0000005 und 0xc000041d protokolliert. Die Schwachstelle fällt unter CWE-125 Out-of-bounds Read. Gemeldet haben sie Enrique de Clerck, Leonardo Gutiérrez und Daniel Cifuentes.

In diesem Video-Tipp zeigen wir, wie man mit dem quelloffenen PowerShell-Modul „Harden Windows Security“ Windows-11-PCs einfach und schnell sicherer macht. (Bild: © Alexej - stock.adobe.com)

Härtung und Folgen für Anwender

Die Behebung erzwingt für gestartete Programme einen absoluten Pfad gegen Hijacking. Den Parameter "commandLineInterpreter" hat Don Ho entfernt und durch den Befehl "PowerShell here" in den Menüs ersetzt. Bei Verknüpfungen außerhalb vertrauenswürdiger Verzeichnisse, darunter "Program Files", "Program Files (x86)", "Windows\System32" und "Windows", blendet der Editor künftig einen Bestätigungsdialog ein. Diese Sperre erfasst auch legitime Werkzeuge in eigenen Installationsverzeichnissen. In der Community diskutieren Entwickler eine Datei namens supressRunAlertDialog.xml im geschützten Programmverzeichnis, mit der Administratoren das frühere Verhalten ohne Rückfrage wiederherstellen.

Fazit

Notepad++ verlagert die Kontrolle über den Programmstart vom ungeprüften Konfigurationswert auf einen absoluten Pfad mit Bestätigung. Anwender mit Interpretern und Compilern außerhalb der Systemverzeichnisse rechnen mit zusätzlichen Abfragen. Das Update auf Version 8.9.6.1 schließt CVE-2026-48778 und CVE-2026-48770. CVE-2026-48800 erfordert ein Update auf Version 8.9.6.2.

(ID:50859774)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.