← voltar
CVE-2025-15556

Notepad++ < 8.8.9 WinGUp Updater Lacks Update Integrity Verification

CVSS 7.7 HIGHEPSS 1.3%● KEVCWE-494
Em resumo

O Notepad++ antes da versão 8.8.9 não verifica se as atualizações são legítimas antes de instalá-las. Um atacante na rede poderia interceptar a atualização e substituir por software malicioso que executa com suas permissões.

Detalhe técnico

O atualizador WinGUp no Notepad++ < 8.8.9 não verifica criptograficamente os metadados e pacotes instaladores, permitindo que um atacante man-in-the-middle intercepte o tráfego de atualização e redirecione para um binário malicioso. A exploração requer acesso em nível de rede para interceptar a conexão, resultando em execução arbitrária de código com privilégios do usuário.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability where downloaded update metadata and installers are not cryptographically verified. An attacker able to intercept or redirect update traffic can cause the updater to download and execute an attacker-controlled installer, resulting in arbitrary code execution with the privileges of the user.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
notepad-plus-plus · notepad-plus-plus
PoCs públicas encontradas2
githubgithub.com/renat0z3r0/notepadpp-supply-chain-iocs1githubgithub.com/George0Papasotiriou/CVE-2025-15556-Notepad-WinGUp-Updater-RCE1
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://community.notepad-plus-plus.org/topic/27298/notepad-v8-8-9-vulnerability-fixhttps://github.com/notepad-plus-plus/notepad-plus-plus/commit/bcf2aa68ef414338d717e20e059459570ed6c5abhttps://github.com/notepad-plus-plus/wingup/commit/ce0037549995ed0396cc363544d14b3425614fdbhttps://notepad-plus-plus.org//news//clarification-security-incident/https://notepad-plus-plus.org/news/hijacked-incident-info-update/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-15556https://www.vulncheck.com/advisories/notepad-plus-plus-wingup-updater-lacks-update-integrity-verification