Abrir el Bloc de notas y perder los datos: un archivo .conf común puede convertir tu sistema en un blanco fáci
Desarrolladores de un programa popular corrigen de urgencia una grave brecha de seguridad
En el popular editor Notepad++ se encontraron varias vulnerabilidades peligrosas, una de las cuales permite ejecutar código arbitrario mediante funciones habituales del programa. El problema afecta a millones de usuarios, ya que la aplicación se ha convertido en un estándar para trabajar con texto y código en Windows.
Los desarrolladores publicaron la actualización Notepad++ 8.9.6.1, que corrige tres vulnerabilidades identificadas como CVE-2026-48770, CVE-2026-48778 y CVE-2026-48800. La más grave fue considerada CVE-2026-48778 (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H — 7.8). El fallo está relacionado con el procesamiento del archivo config.xml y del parámetro commandLineInterpreter. El programa usaba el valor de la configuración sin validarlo y después ejecutaba el archivo indicado mediante la función «Abrir carpeta contenedora en cmd».
Expertos demostraron que un atacante puede suplantar el parámetro y lograr la ejecución de cualquier aplicación. En la demostración, en lugar de la línea de comandos se abrió la calculadora de Windows, lo que confirmó la posibilidad de ejecución remota de código.
El ataque requiere la intervención del usuario, sin embargo existen múltiples escenarios de explotación. Los atacantes pueden modificar el archivo config.xml en el directorio AppData, usar accesos directos especiales con el parámetro -settingsDir o sustituir configuraciones a través de carpetas de sincronización en la nube. Una amenaza adicional la constituyen archivos comprimidos con archivos de configuración preparados de antemano, que se distribuyen mediante técnicas de ingeniería social.
Otra vulnerabilidad, CVE-2026-48770 (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H — 5.0), provocaba fallos en la aplicación y denegación de servicio al procesar estructuras de datos dañadas. CVE-2026-48800 (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H — 7.8) también permitía la ejecución de código arbitrario debido al procesamiento incorrecto del archivo shortcuts.xml.
La vulnerabilidad principal fue clasificada como CWE-78, relacionada con la inyección de comandos del sistema. Los autores del informe señalan que la baja complejidad de explotación y la ausencia de necesidad de privilegios elevados hacen que el problema sea especialmente peligroso en entornos corporativos.
Los desarrolladores recomiendan instalar lo antes posible Notepad++ 8.9.6.1. Además, aconsejan a los administradores vigilar los cambios en los archivos de configuración y limitar los permisos de escritura en los directorios sensibles de Windows.