Notepad++ 存在多个安全漏洞允许执行任意代码

免费开源的代码编辑器 Notepad++ 曝出多个缓冲溢出漏洞，允许攻击者执行任意代码，风险评分从中微到高危不等。

据悉，这些安全漏洞存在于该编辑器所使用的部分函数和库中，具体是存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞。

根据安全人员关于漏洞发布的时间线开源，这些漏洞于2023年04月28日在 NotePad++ V8.5.2 被发现并向厂商报告。

但无论是 Notepad++ 厂商从2023年05月15日发布的V8.5.3、还是2023年06月18日发布的V8.5.4均未修复这些漏洞。

2023年07月08日至2023年07月17日，安全人员与相关厂商先后多次取得了联系尝试解决问题，但部分漏洞依旧存在。

2023年08月09日，未修复漏洞的NotePad++ V8.55发布；2023年08月15日，未修复漏洞的NotePad++ V8.5.6发布。

2023年08月21日，根据相关漏洞披露规则和惯例，安全人员向大众公布了这些漏洞和概念验证：

CVE-2023-40031

CVE-2023-40036

CVE-2023-40164

CVE-2023-40166

由于立场原因和笔者比较懒，这里不翻译关于这些漏洞的细节了，相关链接在文章底部，愿意研究的朋友自己看看。

虽然这个软件设计挺好，笔者之前也比较喜欢使用，但后来其某开发者经常在官网夹带台独言论，笔者直接弃用了。

_{图源 securitylab.github}

最后猜测一下为何厂商迟迟不愿解决漏洞，我猜厂商考虑NotePad++是个本地编辑器，这些远程执行漏洞无伤大雅。

当然，可能也有人选择使用 NppFTP 插件实现服务器远程连接，但这种人应该算是少数，当然，上述都是笔者猜测。

https://cybersecuritynews.com/multiple-notepad-flaw/

https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources