20 Febbraio 2026 13:19    Alert

Notepad++: PoC pubblico per la CVE-2026-25926 e aggiornamenti di sicurezza

L’Agenzia per la Cybersicurezza Nazionale segnala la disponibilità di un Proof of Concept pubblico per lo sfruttamento della vulnerabilità CVE-2026-25926 in Notepad++, editor di testo avanzato molto diffuso in ambiente Windows. Si tratta di una falla classificata come “Unsafe Search Path” (CWE-426), con punteggio CVSS v3 pari a 7.3, che può consentire a un attaccante, in specifiche condizioni, di eseguire codice arbitrario nel contesto dell’applicazione.

La vulnerabilità riguarda le modalità con cui Notepad++ costruisce e invoca il comando per avviare explorer.exe senza specificarne il percorso assoluto (ad esempio C:\Windows\System32\explorer.exe). Se l’attaccante riesce a controllare la directory di lavoro del processo, può collocare un eseguibile malevolo denominato “explorer.exe”, che verrà eseguito al posto di quello legittimo con gli stessi privilegi dell’utente. Sono vulnerabili le versioni 8.9.1 e precedenti del software.

Il rischio è amplificato dal fatto che un exploit funzionante è stato reso pubblico, aumentando la probabilità che la falla venga integrata rapidamente in toolkit di attacco, anche da attori meno sofisticati. Il CSIRT Italia qualifica l’impatto sistemico come “critico”, evidenziando possibili ricadute su ambienti in cui Notepad++ è diffuso su workstation di sviluppo, amministrazione o operations.

Il vendor ha corretto la vulnerabilità nelle versioni successive, raccomandando l’aggiornamento ad almeno Notepad++ 8.9.2 o più recente. L’aggiornamento si inserisce in un più ampio rafforzamento della sicurezza del prodotto, che ha di recente incluso il potenziamento dei controlli sull’update mechanism dopo un incidente di supply chain sfruttato per distribuire il malware Chrysalis.

In attesa dell’aggiornamento, si raccomanda di limitare l’uso di Notepad++ su sistemi esposti, verificare la provenienza dei file aperti con l’editor e monitorare eventuali esecuzioni anomale di explorer.exe da percorsi non standard.

Fonti: ACN, The Hacker News, NIST