CVE-2026–48778 分析：Notepad++漏洞允許攻擊者執行任意指令

漏洞摘要 該漏洞在 2026 年 5 月底揭露，根據 cybersecuritynews 報導，該漏洞是因為在 Notepad++ 在 v8.9.6（含）以前的版本中，存在設定檔解析缺乏輸入驗證的命令執行漏洞，由於標準安裝版會去讀取 %APPDATA%\Notepad++\config.xml，而可攜版會直接讀取當前目錄的設定檔，造成攻擊者透過竄改本機或雲端同步的 config.xml 檔案，將惡意指令注入至特定的 GUI 設定標籤中

當使用者在常規開發或維運流程中觸發 開啟所在資料夾下的 cmd 功能時，將以 Notepad++ 當前的權限無聲執行惡意程式碼 因為該漏洞的觸發機制是，必須讓受害者手動執行 開啟所在資料夾下的 cmd 功能，而一般文書使用者並不會去執行這個功能，所以評估此漏洞攻擊的對象會偏向開發者居多，關於該漏洞的詳細資訊可以參考以下文章

漏洞技術 在 Notepad++ 啟動階段，程式會讀取 config.xml 進行環境初始化，當解析器遇到 XML 標籤時，系統會直接將標籤內的字串寫入記憶體變數 _nppGUI._commandLineInterpreter，過程中完全沒有進行白名單檢查、路徑合法性驗證或數位簽章比對，後續當使用者呼叫終端機功能時，程式會直接將該變數的值傳遞給 Windows API (ShellExecute) 執行，造成攻擊者寫入的指令被直接執行

標準版是指定絕對路徑，而可攜版會直接讀取當前目錄的設定檔，造成可攜版 Notepad++更容易遭到此漏洞攻擊

修補建議 針對 CVE-2026–48778 Notepad++已經提供修復版本，如果環境內有使用 Notepad++ Portable 版， 確保版本升級至 v 8.9.6.1 或更新的版本 詳細資訊可以參考 Notepad++的網站說明

LAB 測試

免責聲明/Disclaimer:

本文僅供資安教育與防禦研究使用，所有實驗皆於封閉合法測試環境中進行，作者不對任何未經授權之利用行為負責，本文亦不提供任何可執行檔案、腳本或下載連結

這次的漏洞相對單純，目標是當使用者透過 notepad++ 開啟 txt 檔，並執行 cmd 功能時直接執行小算盤

首先修改 Notepad++ 的 config.xml ，並加入了小算盤

接著開啟 txt 檔案，點擊 File > Open Containing Folder) >cmd

小算盤成功執行

雖然這個攻擊看起來的前置條件稍微嚴苛，但搭配其他攻擊手法，可能會造成進一步的損害

攻擊者可能在社群或軟體網站，投放被篡改的 notepad++ 惡意壓縮檔，壓縮檔內已經包含了被竄改過 config.xml 的可攜版 (Portable) Notepad++，當受害者解壓縮並執行該目錄下的 notepad++.exe，隨後在查看日誌或原始碼時習慣性地使用開啟所在資料夾 (cmd)功能，便會觸發 Payload

進一步的攻擊可能搭配社交工程，攻擊者透過釣魚郵件發送一個偽裝成文件的捷徑檔，例如 伺服器連線日誌分析.pdf.lnk，該捷徑的目標路徑設定為呼叫本機正常的 Notepad++，但加上了自訂設定檔目錄的參數，一旦受害者在 UI 中觸發 cmd 動作，即有可能觸發後門連線

實際操作影片

影片展示觸發該 RCE 漏洞，導致受害主機連線至後門，實際攻擊可能會搭配更多手法來讓攻擊更加隱蔽

防禦與應對建議：

立即修補：

• 盡快將環境內的 Notepad++ 更新至 v 8.9.6.1 以上版本

偵測：

• 建議監控由 notepad++.exe 啟動的 powershell.exe ，且參數中帶有 -enc, hidden, 或無檔案執行特徵的行為
• 建議監控由 notepad++.exe 啟動的 cmd.exe，檢查其是否進一步呼叫了 curl, certutil等高風險原生工具

總結

儘管 CVE-2026–48778 這個漏洞不是 Initial Access 的攻擊手法，並且要搭配投放以及特定條件才能觸發，但該漏洞能隱藏於受信任的應用程式行程樹下，極具防禦規避與權限維持的戰術價值，所以資安人員還是需確保環境內的 Notepad++已更新至最新版，避免遭到惡意利用