O Notepad++ lançou uma atualização urgente para corrigir três vulnerabilidades de segurança, incluindo duas falhas críticas que podem permitir execução arbitrária de código em computadores Windows.
A correção foi disponibilizada na versão 8.9.6.1, publicada em 26 de maio de 2026. As falhas afetam usuários que executam o Notepad++ 8.9.6 ou versões anteriores.
A vulnerabilidade mais grave, CVE-2026-48778, está ligada ao arquivo config.xml. O problema envolve a tag <GUIConfig name=”commandLineInterpreter”>, cujo valor é lido e armazenado pelo editor sem validação adequada, lista de permissão ou verificação de assinatura.
Na prática, um invasor que consiga alterar esse arquivo pode controlar o interpretador chamado pelo Notepad++. Quando o usuário aciona a opção para abrir a pasta do arquivo no prompt de comando, o aplicativo pode executar um programa definido pelo atacante.
Usuários devem atualizar imediatamente para o Notepad++ 8.9.6.1 ou posterior, preferencialmente pelo site oficial do projeto.
Em empresas, a prioridade deve ser maior em máquinas com pastas de configuração compartilhadas, sincronização em nuvem ou uso frequente de arquivos recebidos de terceiros.
