← volver
CVE-2025-15556

Notepad++ < 8.8.9 WinGUp Updater Lacks Update Integrity Verification

CVSS 7.7 HIGHEPSS 1.3%● KEVCWE-494
En resumen

Notepad++ antes de la versión 8.8.9 no verifica que las actualizaciones sean legítimas antes de instalarlas. Un atacante en la red podría interceptar la actualización y reemplazarla con software malicioso que se ejecuta con tus permisos.

Detalle técnico

El actualizador WinGUp en Notepad++ < 8.8.9 no verifica criptográficamente los metadatos e instaladores, permitiendo que un atacante man-in-the-middle intercepte el tráfico de actualización y redirija a un binario malicioso. La explotación requiere acceso a nivel de red para interceptar la conexión, resultando en ejecución arbitraria de código con privilegios del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.
Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability where downloaded update metadata and installers are not cryptographically verified. An attacker able to intercept or redirect update traffic can cause the updater to download and execute an attacker-controlled installer, resulting in arbitrary code execution with the privileges of the user.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
notepad-plus-plus · notepad-plus-plus
PoCs públicas encontradas2
githubgithub.com/renat0z3r0/notepadpp-supply-chain-iocs1githubgithub.com/George0Papasotiriou/CVE-2025-15556-Notepad-WinGUp-Updater-RCE1
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://community.notepad-plus-plus.org/topic/27298/notepad-v8-8-9-vulnerability-fixhttps://github.com/notepad-plus-plus/notepad-plus-plus/commit/bcf2aa68ef414338d717e20e059459570ed6c5abhttps://github.com/notepad-plus-plus/wingup/commit/ce0037549995ed0396cc363544d14b3425614fdbhttps://notepad-plus-plus.org//news//clarification-security-incident/https://notepad-plus-plus.org/news/hijacked-incident-info-update/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-15556https://www.vulncheck.com/advisories/notepad-plus-plus-wingup-updater-lacks-update-integrity-verification