漏洞描述:
Nоtераd++是一个免费且开源的源代码编辑器,在8.8.1及更早版本中,Nоtераd++v8.8.1安装程序中存在一个权限提升漏洞,允许非特权用户通过不安全的可执行文件搜索路径获得SYSTEM级权限,攻击者可以使用社会工程学或点击劫持诱使用户将合法安装程序和恶意可执行文件下载到同一目录通常是下载文件夹该目录被称为易受攻击的目录,在运行安装程序时,攻击会自动以SYSTEM权限执行,此问题已在8.8.2版本中修复并即将发布。
攻击场景:
攻击者可以通过社会工程学或点击劫持诱使用户将合法安装程序和恶意可执行文件下载到同一目录导致权限提升。
影响产品:
Notepad++所有版本
修复建议:
补丁名称:
Nоtераd++权限提升漏洞的补丁-更新至最新版本8.8.2
文件链接:
https://github.com/notepad-plus-plus/notepad-plus-plus/releases/tag/v8.8.1
缓解措施:
建议用户定期检查软件更新,并及时应用安全补丁以降低潜在风险。同时增强对文件来源的审查,避免打开不明文件。
原文始发于微信公众号(飓风网络安全):【高危漏洞预警】Notepad++权限提升漏洞(CVE-2025-49144)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论