威胁情报：Notepad++ 本地提权漏洞 | POC已公开

漏洞背景与技术细节

截至 2025 年 6 月 24 日，CVE-2025-49144 被确认是一个严重的安全漏洞，影响 Notepad++ 的安装程序，具体版本为 v8.8.1 及更早。Notepad++ 是一款免费开源的源代码编辑器，广泛用于 Windows 系统。该漏洞的类型为“未受控制的可执行文件/动态链接库搜索路径”（Uncontrolled EXE/DLL Search Path），也称为“二进制植入”（Binary Planting），属于本地权限提升类漏洞。

根据调查，该漏洞的根因在于安装程序在调用 regsvr32 时未指定绝对路径。例如，原始代码可能为：

• 漏洞代码：ExecWait 'regsvr32 /u /s "$INSTDIRNppShell_01.dll"'这会导致安装程序从当前工作目录加载 regsvr32.exe，如果攻击者事先在该目录放置了恶意可执行文件，系统将以 SYSTEM 权限执行该文件。

修复版本 v8.8.2 修改了该行为，明确指定绝对路径，例如：

• 修复代码：ExecWait '$SYSDIRregsvr32.exe /u /s "$INSTDIRNppShell_01.dll"'这样可以避免从当前工作目录加载恶意文件。

攻击方法与影响

攻击方法分为以下几个步骤：

1. 准备阶段：攻击者在目标系统当前工作目录中放置一个恶意的 regsvr32.exe 文件或其他可执行文件。
2. 攻击向量：用户运行 Notepad++ v8.8.1 的安装程序。
3. 执行阶段：安装程序调用 regsvr32 时，从当前工作目录加载恶意文件，并以 SYSTEM 权限执行。
4. 结果：攻击者获得对系统的完全控制权，可安装程序、修改数据或创建新账户。

该漏洞的严重性被评为高（High），CVSS v3 分数为 AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H，评分为 7.8/10。用户交互（UI:R）是触发条件之一，但攻击者只需诱导用户运行安装程序即可。

PoC 与公开信息

已发布 PoC 材料，供安全研究人员验证漏洞。PoC 可在一下链接查看，其中包括演示视频和相关代码。这表明漏洞已被广泛关注，潜在风险较高。

https://youtu.be/qCQlVllAfO0

POC

https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24https://drive.google.com/drive/folders/11yeUSWgqHvt4Bz5jO3ilRRfcpQZ6Gvpn

修复建议

1、所有 Notepad++ 用户请务必更新至 8.8.2 及以上版本

2、下载渠道谨慎：强烈建议从 Notepad++ 官网、GitHub Releases 下载，不使用第三方镜像或链接。

3、安装隔离建议：对于重要设备，将安装操作限于受控目录，避免与下载文件混杂。

4、强化本地保护机制：结合用户权限控制、安装时 UAC 弹出提示等机制阻挡本地投毒路径。

5、提升警惕：定期清理 Downloads 文件夹，不随意执行下载的 EXE 和 DLL；企业可结合 EDR 工具拦截异常加载行为。

此外，开发人员和系统管理员可参考以下建议：

• 使用绝对路径：确保所有可执行文件的调用使用绝对路径，避免从当前工作目录加载。
• 数字签名验证：实施文件数字签名验证，确保加载的文件来源可信。
• 安全临时目录：使用随机化的临时目录名称，减少攻击者植入恶意文件的可能性。

相关漏洞与对比

该漏洞与以下类似漏洞有一定关联：

• CVE-2023-6401：涉及类似二进制植入问题。
• CVE-2023-47452：特权提升漏洞。
• CVE-2024-44346：相关软件中的类似问题。
• Dell SupportAssist (DSA-2024-312)：涉及安装程序的安全性问题。

这些漏洞均强调了安装程序中未受控制搜索路径的潜在风险，值得注意。

时间线与发布信息

根据调查，该漏洞首次发布于 2025 年 5 月 5 日，NVD 于 2025 年 6 月 23 日记录了相关变更（NVD Change Record）。公开信息显示，GitHub 安全咨询也在近期更新，详细描述了漏洞详情GitHub Advisory：

https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24

漏洞总结

网络安全情报攻防站