Biztonsági kutatók egy kritikus DLL-hijack (DLL-eltérítés) típusú sebezhetőséget azonosítottak a Notepad++ egyik korábbi kiadásában (8.8.3), amely a CVE-2025-56383 azonosító alatt van nyilvántartva.
Ez a hiba lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak azáltal, hogy a program bővítménykönyvtárában található DLL (dinamikus csatolási könyvtár) fájlokat rosszindulatú változatokra cserélik, amelyek ugyanazokat az exportált függvényeket tartalmazzák.
A sebezhetőség kifejezetten Notepad++ bővítményrendszerét célozza, különösen az NppExport.dll fájlt. A támadók ezt a gyengeséget kihasználva olyan rosszindulatú DLL fájlt hoznak létre, amely azonos exportált függvényekkel rendelkezik, továbbítja a hívásokat az eredeti DLL felé, miközben ártalmas kódot is futtat.
Amikor a felhasználó elindítja a Notepad++-t, az alkalmazás automatikusan betölti ezeket a plugin DLL-eket, így lehetőség nyílik a rosszindulatú kód futtatására. A támadási módszer lényege, hogy az eredeti DLL-fájlt egy manipulált változatra cserélik, amely látszólag legitim, de beágyazott kártékony funkciókat tartalmaz.
A sikeres kihasználáshoz a támadónak helyi fájlrendszer-hozzáféréssel kell rendelkeznie, és képesnek kell lennie a Notepad++ telepítési könyvtárában lévő fájlok módosítására. Bár ez a követelmény szűkíti a támadás lehetőségét olyan helyzetekre, ahol a támadónak már van bizonyos szintű hozzáférése a rendszerhez, mégis hatékony eszköz lehet jogosultságkiterjesztésre vagy a hozzáférés hosszú távú megtartására.
A sebezhetőség CVSS 3.1 értékelési rendszer szerint 7.8 (magas) pontszámot kapott, ami jelentős biztonsági kockázatot jelez. A támadási vektor helyi, alacsony komplexitású, kevés jogosultságot és minimális felhasználói közreműködést igényel.
A zer0t0 nevű biztonsági kutató közzétett egy proof-of-concept demót a Githubon, amely bemutatja, hogyan lehet a hibát kihasználni a NppExport.dll bővítmény segítségével. A demonstrációban az eredeti DLL-t egy original-NppExport.dll néven mentik el, a helyére pedig egy azonos exportfüggvényeket tartalmazó, de rosszindulatú kódot is futtató fájl kerül.
A szervezeteknek és a felhasználóknak fokozottan ügyelniük kell arra, hogy csak megbízható forrásból telepítsék a Notepad++-t, mivel hivatalos javítás egyelőre még nem érhető el. Kerülni kell a nem hivatalos forrásból származó telepítőket, illetve meg kell akadályozni, hogy illetéktelen szoftverek módosíthassák a rendszerfájlokat vagy a Notepad++ telepítési könyvtárát.
A sebezhetőség nemcsak a 8.8.3-as verziót érinti, hanem potenciálisan más verziókat is, amelyek hasonló plugin-betöltési mechanizmust használnak. A felfedezés rámutat a biztonságos alkalmazástervezés és a fájlintegritás-ellenőrzés fontosságát, ezért a sebezhetőség mielőbbi kezelése mind a felhasználók, mind a fejlesztők számára kiemelt fontosságú.