‌网工注意：Notepad++再爆安全漏洞，迅速升级吧！

以下是关于Notepad++近期漏洞的最新综合信息，重点聚焦于2025年6月披露的高危本地提权漏洞（CVE-2025-49144）及相关动态：

⚠️ 1. 漏洞详情与技术分析

• 漏洞本质：Notepad++ 8.8.1安装程序存在未受控的可执行文件搜索路径（Binary Planting漏洞）。安装程序调用系统工具（如regsvr32.exe）时，优先在当前目录（而非系统目录）搜索依赖文件，且未验证文件合法性。
• 攻击手法：攻击者诱骗用户将官方安装包与恶意伪造的regsvr32.exe放置在同一目录（如下载文件夹）。用户运行安装程序时，恶意文件以SYSTEM权限自动执行，导致系统完全被控。
• 技术根源：原始代码调用依赖文件时未指定绝对路径（如ExecWait 'regsvr32 ...'），修复版本（8.8.2）改为ExecWait '$SYSDIR\regsvr32.exe ...'。
• 漏洞评级：CVSS v3评分7.8（高危），攻击复杂度低（AC:L），需用户交互（UI:R）但易通过社工诱导触发。

2. 影响范围与风险评估

• 受影响版本：Notepad++ ≤ 8.8.1（全球数百万用户）。
• 风险场景：
• 高危人群：开发者、运维人员常从官网直接下载安装包，易忽略目录混杂风险。
• 企业威胁：内网横向移动、数据泄露、权限持久化。
• 利用现状：PoC（概念验证）已公开，含攻击演示视频与代码，增大了实际攻击威胁。

️ 3. 修复与缓解措施

• 官方补丁：升级至 Notepad++ 8.8.2（已修复路径验证问题）。
• 防护建议：
• 立即升级：从官网或GitHub Releases下载新版。
• 安装隔离：将安装程序移至新建空目录再运行，避免与下载文件混存。
• 企业防护：启用EDR工具监控异常进程、实施应用白名单、限制用户安装权限。
• 用户习惯：定期清理下载文件夹，警惕非官网来源的安装包。

⏳ 4. 相关事件与历史漏洞

• 历史问题：Notepad++近年多次曝出类似漏洞：
• 2023年：DLL注入漏洞（CVE-2023-6401）、插件劫持（如mimeTools.dll）。
• 2024年：WogRAT恶意软件利用Notepad++服务攻击跨平台设备。
• 其他关联漏洞：
• CVE-2025-52938：影响分支软件NotepadNext的堆缓冲区越界读取漏洞（风险较低）。
• CIA监控事件：早年Notepad++曾被CIA通过劫持scilexer.dll实施监控（已修复）。

总结

此次漏洞（CVE-2025-49144）是典型的供应链攻击案例，利用用户对合法软件的信任实现权限提升。建议所有用户立即升级至8.8.2，并严格遵循安装目录隔离原则。企业需强化终端安全监控，防范“静默提权”攻击。Notepad++团队近年虽快速响应漏洞，但其频繁的安全问题也引发对代码质量的持续担忧。