Vulnerabilidad de Inyección de Comandos PowerShell en el Instalador de Notepad++ (v8.9.7) 

Se ha anunciado el lanzamiento oficial de Notepad++ v8.9.7, una actualización de seguridad crítica que soluciona cinco vulnerabilidades distintas en uno de los editores de texto y código más utilizados en entornos corporativos y de desarrollo. Los fallos corregidos abarcan desde una inyección de comandos de PowerShell de alto riesgo en el instalador hasta desbordamientos de búfer y elusiones de integridad en el manejo de configuraciones locales. 


Veredicto Analítico 
  • Estado: Confirmado. Parche oficial disponible para su descarga manual e implementación centralizada. El actualizador automático (WinGUp) desplegará la versión de forma gradual en un plazo de dos semanas si no se reportan regresiones. 
  • Confianza: Absoluta. Validado por el equipo de desarrollo de Notepad++ y el registro de parches de seguridad de los componentes afectados. 
  • Riesgo para SOC, TDIR y Redes: Alto (enfocado en entornos de ingeniería y desarrollo). Al ser una herramienta común para desarrolladores y administradores de sistemas que interactúan frecuentemente con archivos de configuración y repositorios no confiables, el compromiso de esta aplicación sirve como vector ideal para ataques de ingeniería social o envenenamiento de flujos de trabajo locales. 
  • Urgencia Operativa: Alta. Se recomienda omitir la espera del actualizador automático y proceder con la distribución forzada del parche, especialmente en estaciones de trabajo con acceso a código fuente corporativo o credenciales de infraestructura. 
  • Base del Veredicto: Presencia de fallos de inyección de código e inestabilidad de memoria mediante el procesamiento de comandos malformados durante la instalación, así como vulnerabilidades de recorrido de rutas al extraer actualizaciones lógicas. 

Hallazgos Clave (Vulnerabilidades Corregidas) 

La actualización v8.9.7 corrige los siguientes fallos de seguridad estructurales: 

  • Inyección de Comandos PowerShell (Instalador): Un manejo defectuoso en la validación de instrucciones de PowerShell dentro del paquete de instalación permite alterar el flujo del instalador para ejecutar comandos arbitrarios del sistema operativo. 
  • CVE-2026-54758 (Función Principal): Desbordamiento de búfer basado en pila (Stack Buffer Overflow) en la función expandNppEnvironmentStrs. Provoca corrupción de memoria y abre la posibilidad de una Ejecución Remota de Código (RCE). 
  • CVE-2026-57233 (Actualizador WinGUp): Vulnerabilidad de tipo Zip Slip (recorrido de ruta) que permite a un atacante remoto o local sobrescribir archivos arbitrarios en el sistema de archivos durante el proceso de extracción de una actualización. 
  • CVE-2026-52886 (Gestión de Sesiones): Elusión de la validación de rutas mediante la manipulación del parámetro backupFilePath dentro del archivo local session.xml. 
  • Fallo de Integridad de Macros (Sistema de Macros): Evasión de la validación HMAC a través de la macro en shortcuts.xml, lo que habilita la ejecución no autorizada de macros sin los controles de integridad establecidos. 

Análisis Técnico: Mecanismos de Explotación 

La superficie de ataque de Notepad++ en este ciclo expone riesgos tanto en la cadena de distribución como en los artefactos de persistencia local: 

  • Abuso del Proceso de Instalación: En campañas de ingeniería social o mediante repositorios comprometidos de terceros, un atacante distribuye un paquete de instalación manipulado. Debido a que el script de instalación procesa de forma insegura los comandos de PowerShell destinados a la configuración inicial, la carga útil inyectada se ejecuta con los privilegios del instalador (típicamente privilegios administrativos), comprometiendo el sistema operativo antes de finalizar la instalación. 
  • Explotación por Recorrido de Rutas (Zip Slip): El componente de actualización automática WinGUp procesa archivos comprimidos. Si un atacante intercepta la comunicación o manipula el archivo de actualización, puede incluir secuencias de caracteres de recorrido de directorios (ej. ../../). Al extraerse, el actualizador escribe archivos fuera del directorio destino previsto, logrando reemplazar ejecutables legítimos del sistema o librerías dinámicas. 
  • Persistencia y Evasión por Archivos Locales: Al abrir la aplicación, Notepad++ lee los archivos de configuración de la sesión del usuario (session.xml) y los accesos rápidos (shortcuts.xml). Manipulando estos archivos mediante vectores previos, un atacante puede forzar la carga de rutas no verificadas o evadir la firma criptográfica HMAC de las macros internas, logrando ejecutar código malicioso de forma persistente cada vez que el desarrollador interactúa con el editor. 

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK) 
  • Acceso Inicial: Ingeniería Social / Compromiso de Software de Terceros (Supply Chain Compromise – T1195.001) mediante instaladores falsificados. 
  • Ejecución: Ejecución del Usuario (User Execution: Malicious File – T1204.002) al iniciar el proceso de actualización o instalación, e Intérprete de Comandos y Scripts: PowerShell (T1059.001). 
  • Evasión de Defensas / Persistencia: Modificación del Entorno de Software (T1542) mediante la técnica de Zip Slip para sobrescribir archivos del sistema. 

Recomendaciones Operativas 

Para Administración de Redes, Endpoint y TI (Acción Prioritaria) 

  • Actualización Manual Inmediata: Desplegar de forma centralizada Notepad++ v8.9.7 en todas las estaciones de trabajo administradas, utilizando herramientas de gestión de parches corporativas (SCCM, Intune, etc.) para anular las versiones expuestas anteriores a la v8.9.7. 
  • Validación de Origen: Restringir las descargas de esta aplicación exclusivamente al repositorio oficial del proyecto. Se aconseja verificar las sumas de comprobación (hashes) de los instaladores antes de autorizar su ejecución en las políticas de control de aplicaciones corporativas (AppLocker). 

Para el Centro de Operaciones de Seguridad (SOC) 

  • Monitoreo de Procesos Hijos: Configurar alertas en el EDR para detectar anomalías donde los procesos del instalador de Notepad++ o el propio ejecutable notepad++.exe invoquen instancias sospechosas de powershell.exe o cmd.exe con argumentos de red o de descargas externas. 
  • Auditoría de Archivos de Configuración: Supervisar modificaciones anómalas o masivas en las rutas de los perfiles de usuario (%APPDATA%\Notepad++\) específicas para los archivos lógicos session.xml y shortcuts.xml, buscando patrones de inyección de directorios o parámetros de evasión de firmas HMAC. 

Mejoras de Estabilidad Adicionales en v8.9.7 

Junto con el bloque de seguridad, esta versión introduce actualizaciones funcionales y de rendimiento para la infraestructura del editor: 

  • Actualización de componentes principales a Scintilla 5.6.4, Lexilla 5.5.1 y pugixml 1.16. 
  • Estado de expansión y contracción persistente dentro de la función “Carpeta como espacio de trabajo”. 
  • Optimización de la búsqueda incremental mediante contadores de posición y la enésima coincidencia. 
  • Corrección de errores lógicos relacionados con bloqueos por enlaces simbólicos (symlinks) y problemas de escalado de alta resolución (DPI). 

Related Post