Il popolare editor di codice Notepad++ è stato colpito da una nuova falla di sicurezza, identificata come CVE-2026-25926, che potrebbe consentire l’esecuzione di codice arbitrario sui sistemi degli utenti. La scoperta arriva a meno di tre settimane di distanza da un grave attacco alla catena di approvvigionamento che aveva già compromesso l’infrastruttura di aggiornamento del software. Gli sviluppatori hanno risposto con il rilascio immediato della versione 8.9.2 per correggere il difetto e proteggere i dispositivi esposti.
Dinamica del caricamento insicuro
La vulnerabilità risiede nella gestione delle chiamate di sistema effettuate dall’applicazione per avviare il processo Explorer.exe. Notepad++ non specifica un percorso assoluto per l’eseguibile di Windows, limitandosi a richiamare il nome del file. Questa omissione permette a un utente malintenzionato di posizionare un file dannoso omonimo all’interno della cartella di lavoro corrente, inducendo il software a eseguire quest’ultimo al posto dell’originale di sistema.
Rischi di esecuzione codice arbitrario
L’errore di programmazione, classificato come “Unsafe Search Path” (CWE-426), espone il software ad attacchi di binary planting. Se un utente apre un file di progetto situato in una directory controllata da un attaccante, l’editor potrebbe attivare involontariamente script pericolosi con gli stessi privilegi dell’applicazione. Secondo i ricercatori di sicurezza, il difetto ha un punteggio di gravità CVSS pari a 7.3, indicando un rischio elevato per l’integrità del sistema.
Precedenti attacchi alla catena di fornitura
Il nuovo aggiornamento non si limita a correggere la falla CVE-2026-25926, ma introduce anche ulteriori protezioni per blindare il meccanismo di update. All’inizio di febbraio 2026, era emerso che attori statali avevano manipolato l’infrastruttura di hosting per distribuire versioni trojanizzate del software. La nuova versione 8.9.2 implementa la firma digitale XML (XMLDSig) per verificare l’autenticità dei manifest di aggiornamento prima di procedere con il download.
Interventi tecnici e versioni sicure
Per mitigare il rischio, lo sviluppo ha eliminato diverse dipendenze insicure, tra cui la libreria libcurl.dll, spesso utilizzata per attacchi di side-loading. È stato inoltre imposto che il gestore dei plugin esegua esclusivamente programmi firmati con lo stesso certificato del modulo di aggiornamento WinGUp. Le autorità di cybersicurezza raccomandano l’installazione manuale della versione più recente per garantire la rimozione di ogni possibile vettore di attacco residuo.
