Una vulnerabilidad de alta severidad (CVE-2025-49144) en el instalador de Notepad++ podría ser explotada por usuarios sin privilegios para obtener acceso de nivel SYSTEM a través de rutas de búsqueda de ejecutables inseguras.
La vulnerabilidad que pone en riesgo a millones de usuarios
Notepad++ es un popular editor de texto y código fuente gratuito y de código abierto para Windows. La falla CVE-2025-49144 es una vulnerabilidad de escalada local de privilegios que afecta las versiones de Notepad++ hasta la v8.8.1 inclusive, y podría permitir a los atacantes ejecutar de manera subrepticia ejecutables maliciosos en sistemas objetivo.
Según la entrada CVE oficial, «un atacante podría utilizar ingeniería social o clickjacking para engañar a los usuarios para que descarguen tanto el instalador legítimo como un ejecutable malicioso al mismo directorio (típicamente la carpeta de Descargas, conocida como directorio vulnerable)».
Si se ejecuta el instalador vulnerable, también cargará el ejecutable malicioso, pero con privilegios SYSTEM.
Descubrimiento y detalles técnicos
La vulnerabilidad fue descubierta por los investigadores de seguridad Shashi Raj, Yatharth Tyagi y Kunal Choudhary, quienes la reportaron de manera privada al desarrollador y mantenedor de Notepad++, Don Ho.
«Descubrimos esta vulnerabilidad mientras experimentábamos con DLL hijacking para escalada de privilegios en Windows. Notepad++ no fue un objetivo específico: identificamos este problema mientras analizábamos patrones comunes de instalación de aplicaciones», explicó Raj.
Actualmente no hay indicios de que la vulnerabilidad esté siendo aprovechada por atacantes, aunque los detalles técnicos y una prueba de concepto (PoC) han sido publicados y posteriormente censurados por razones de seguridad.
Medidas de protección y timeline de la solución
Un commit que aborda la vulnerabilidad ya ha sido realizado, pero una versión estable de Notepad++ con la corrección aún está pendiente.
«Solicitamos que los detalles del advisory fueran temporalmente censurados para prevenir la weaponización antes de que las correcciones sean ampliamente desplegadas», dijo Raj. «Creemos en la divulgación coordinada que equilibra la conciencia pública con la seguridad. Los detalles de la vulnerabilidad serán restaurados una vez que la versión corregida logre una distribución suficiente».
Problemas con el certificado retrasan la liberación
El desarrollador de Notepad++, Don Ho, explicó que el retraso en la liberación de Notepad++ v8.8.2 se debe a un contratiempo con el certificado de firma de código y confirmó que será liberado dentro de una semana.
Debido a la incapacidad de renovar el certificado en este momento, esa versión no estará firmada digitalmente. Sin embargo, Ho agregó: «Desde la v7.6.6, las firmas GPG siempre han sido incluidas con los binarios liberados de Notepad++, puedes usar Gpg4win o Kleopatra para verificar la autenticidad de los archivos descargados».
Una versión candidata ya ha sido puesta a disposición para descarga mientras tanto.
Recomendaciones para usuarios
Dada la popularidad del software tanto entre usuarios como entre distribuidores de malware, esta vulnerabilidad podría ser otra incorporación bienvenida al arsenal de estos últimos.
Medidas de seguridad recomendadas:
- Actualizar a la versión corregida de Notepad++ cuando sea liberada
- Descargar el software únicamente desde el sitio oficial de Notepad++
- Verificar siempre las descargas de software de código abierto antes de ejecutarlas
- Evitar ejecutar instaladores desde directorios compartidos o de descarga junto con otros archivos ejecutables desconocidos
