nvd,anchore_overrides
Notepad-plus-plus
Уязвимости
16
Эксплуатируемые
1
Критический
0
Высокий
10
Топ продуктов
Топ уязвимостей
CVE-2026-5525Уязвимость переполнения буфера на основе стека существует в версии Notepad++ 8.9.3 в компоненте обработчика падения файла. Когда пользователь перетаскивает и роняет путь каталога ровно из 259 символов без задней наклонной стороны, приложение прилагает обратный удар и нулевым терминатором без надлежащей проверки границ, что приводит к переполнению буфера стека и сбою приложения (STATUS_STACK_BUFFER_OVERRUN).
CVE-2023-6401В NotePad++ до версии 8.1 была обнаружена проблема, классифицированная как проблематичная. Эта уязвимость затрагивает неизвестную функцию файла dbghelp.exe. Манипуляция приводит к неконтролируемому пути поиска. Атака должна быть предпринята локально. Этому идентификатору VDB-246421 была присвоена эта уязвимость. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2023-47452Уязвимость, связанная с использованием ненадежного пути поиска в notepad++ 6.5, позволяет локальным пользователям получить повышенные привилегии через файл msimg32.dll в текущем рабочем каталоге.
CVE-2023-40031Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом. Версии 8.5.6 и более ранние уязвимы к переполнению буфера кучи при записи в `Utf8_16_Read::convert`. Эта проблема может привести к произвольному выполнению кода. На момент публикации известные исправления в существующих версиях Notepad++ отсутствуют.
CVE-2022-32168Notepad++ версии 8.4.1 и более ранние уязвимы для перехвата DLL, когда злоумышленник может заменить уязвимую DLL (UxTheme.dll) своей собственной DLL и запустить произвольный код в контексте Notepad++.
CVE-2019-16294SciLexer.dll в Scintilla в Notepad++ (x64) до версии 7.7 позволяет удаленно выполнять код или отказ в обслуживании через символы Unicode в специально созданном файле .ml.
CVE-2017-8803Notepad++ 7.3.3 (32-bit) с плагином Hex Editor v0.9.5 может позволить злоумышленникам, действующим при поддержке пользователя, выполнять код через специально созданный файл из-за проблемы "Данные из адреса с ошибкой управляют потоком кода". Одна из моделей угроз - жертва, которая получает ненадежный созданный файл из удаленного местоположения и выдает несколько определяемых пользователем команд.
CVE-2025-15556Версии Notepad++ до 8.8.9 при использовании обновления WinGUp содержат уязвимость проверки целостности обновления, при которой загруженные метаданные обновления и установщики не проверяются криптографически. Поглощающий злоумышленник, способный перехватить или перенаправить трафик обновления, может заставить обновление загружать и выполнять установщик, управляемый злоумышленником, что приводит к произвольному исполнению кода с привилегиями пользователя.
CVE-2026-25926Notepad++ - это бесплатный редактор исходного кода с открытым исходным кодом. Уязвимость Unsafe Search Path (CWE-426) существует в версиях до 8.9.2 при запуске проводника Windows без абсолютного исполняемого пути. Это может позволить выполнить злоумышленник explore.exe, если злоумышленник может контролировать рабочий каталог процесса. При определенных условиях это может привести к произвольному исполнению кода в контексте запущенного приложения. Версия 8.9.2 исправляет проблему.
CVE-2025-49144Notepad++ - это бесплатный редактор исходного кода с открытым исходным кодом. В версиях 8.8.1 и предыдущих в установщике Notepad++ v8.8.1 существует уязвимость привилегированной эскалации, которая позволяет непривилегированным пользователям получать привилегии на уровне SYSTEM через небезопасные исполняемые пути поиска. Злоумышленник может использовать социальную инженерию или кликджекинг, чтобы обмануть пользователей в загрузке как законного установщика, так и вредоносного исполняемого файла в один и тот же каталог (обычно папка загрузок - которая известна как Уязвимый каталог). При запуске установщика атака выполняется автоматически с привилегиями SYSTEM. Эта проблема была исправлена и будет выпущена в версии 8.8.2.
CVE-2022-31901Переполнение буфера в функции Notepad_plus::addHotSpot в Notepad++ v8.4.3 и более ранних версиях позволяет злоумышленникам вызвать сбой приложения через два специально созданных файла.
CVE-2023-40166Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом. Версии 8.5.6 и более ранние уязвимы к переполнению буфера кучи при чтении в `FileManager::detectLanguageFromTextBegining `. Возможность эксплуатации этой проблемы неясна. Потенциально ее можно использовать для утечки информации о распределении внутренней памяти. На момент публикации известные исправления в существующих версиях Notepad++ отсутствуют.
CVE-2023-40164Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом. Версии 8.5.6 и более ранние уязвимы к глобальному переполнению буфера при чтении в `nsCodingStateMachine::NextStater`. Возможность эксплуатации этой проблемы неясна. Потенциально ее можно использовать для утечки информации о распределении внутренней памяти. На момент публикации известные исправления в существующих версиях Notepad++ отсутствуют.
CVE-2023-40036Notepad++ - это бесплатный редактор исходного кода с открытым исходным кодом. Версии 8.5.6 и более ранние подвержены переполнению глобального буфера чтения в `CharDistributionAnalysis::HandleOneChar`. Возможность эксплуатации этой проблемы неясна. Потенциально, она может быть использована для утечки внутренней информации о распределении памяти. На момент публикации известные исправления в существующих версиях Notepad++ отсутствуют.
CVE-2022-31902Обнаружено, что Notepad++ v8.4.1 содержит переполнение стека через компонент Finder::add().
CVE-2026-6539Notepad++ 8.9.3 содержит уязвимость в строке инъекций формата в обработчике панели Find Results, которая позволяет злоумышленникам вызывать отказ в обслуживании и раскрытие информации, создавая вредоносный файл пакета языковelang.xml. Злоумышленники могут распространять отравленный языковой пакет через каналы сообщества, который запускает интерпретацию строк формата, когда пользователь выполняет поисковые операции, что приводит к нарушениям доступа и потенциальной утечке стека или регистра содержимого.