Las vulnerabilidades en las soluciones software actuales se han convertido en algo habitual para muchos desarrolladores y usuarios. Ahora le ha llegado el turno a una de las aplicaciones de código abierto más populares, Notepad++.
Os decimos esto porque recientemente se han descubierto dos vulnerabilidades críticas que afectan a los usuarios de Windows 10 y 11. Hay que tener en cuenta que los atacantes podrían explotar los archivos del sistema config.xml y shortcuts.xml para ejecutar código arbitrario malicioso y tomar el control del equipo.
Para que nos hagamos una idea más aproximada, os diremos que los fallos de seguridad detectados se basan en archivos de configuración manipulados almacenados en el directorio AppData del propio Windows de los equipos afectados. Estas vulnerabilidades tienen una gran importancia debido a la enorme penetración de mercado de esta aplicación de código abierto, habitual tanto para usuarios finales como para empresas.
Cierto es que en estos instantes los máximos responsables de Notepad++ acaban de lanzar una actualización de seguridad urgente tras el descubrimiento. Pues bien, debemos saber que las correcciones de seguridad ahora se incluyen en la versión 8.9.6.1 recientemente publicada.
Llegados a este punto, os diremos que la vulnerabilidad más grave, catalogada como CVE-2026-48778, afecta al archivo config.xml. Así, Notepad++ no valida el valor del intérprete de línea de comandos antes de pasarlo a Windows. Esto permite a los atacantes ejecutar archivos maliciosos cuando los usuarios utilizan la opción Abrir carpeta contenedora dentro de la aplicación. De ahí que lo mejor que podemos hacer es actualizar el programa lo antes posible a su más reciente versión.
