Notepad++ DLL劫持漏洞CVE-2025-56383

Notepad++是广受程序员和系统管理员青睐的免费开源文本编辑器，基于Scintilla开发，具有高效、轻量、多语言支持和高度定制等优点。

Notepad++支持C++、Java、Python、HTML等50多种编程语言语法高亮，支持代码编写、脚本编辑和大型文本处理、宏及插件扩展功能。

一、基本情况

Notepad++由侯今吾（台湾省开发者）开发，虽为开源代码的自由软件，但其作者多次发表反华言论，因多次发表争议性言论而引发抵制。

Notepad++是一款专为Windows系统设计的免费开源文本编辑器，支持多国语言界面及UTF-8编码，具有轻量化、高扩展性和免费等特性。

Notepad++提供代码折叠、自动完成、正则表达式搜索、文件对比、宏录制及丰富的插件扩展（如NppFTP、NppExec）等诸多扩展功能。

栋科技漏洞库关注到Notepad++v8.8.3版本中存在一个DLL劫持漏洞，该漏洞现已被追踪为CVE-2025-56383，漏洞的CVSS 3.X评分为6.5。

二、漏洞分析

CVE-2025-56383是位于Notepad++ v8.8.3版本中的DLL劫持漏洞，允许攻击者劫持Notepad++的DLL加载过程，可能执行任意恶意代码。

攻击者可利用漏铜，通过Notepad++在执行过程中自动加载某些DLL的事实，通过用恶意DLL替换受信任的DLL（例如NppExport.DLL）。

即将原始DLL（如Notepad++\plugins\NppExport\NppExport.DLL）替换为包含恶意代码同名DLL文件（原始导出函数被转发到原始DLL），

启动Notepad++时，此DLL劫持被确认有效，有效地使攻击者在受害者计算机上持久存在并执行，从而可以确保其代码在程序启动时运行。

虽然此漏洞需要本地访问或在Notepad++安装路径中删除恶意DLL的能力，但该漏洞的存在显著增加了权限升级和恶意软件持久性的风险。

由于Notepad++在开发人员、管理员和安全专业人员中的流行，攻击者可以利用这一漏洞作为供应链攻击、安装木马程序或内部威胁场景。

三、POC概念验证

1、安装Notepad++

以下演示使用npp.8.8.3.Installer.x64.exe安装Notepad++进行测试，但实际上，任何安装的Notepad++都会受到此漏洞的影响

2、将伪造的NppExport.dll替换为恶意NppExportdll

将原始DLL（如Notepad++\plugins\NppExport\NppExport.DLL）替换为包含恶意代码的同名DLL文件（原始导出函数将转发到原始DLL），

以便在执行Notepad++.exe，可以执行恶意代码。其中，original-NppExport.dll是原始dll，而NppExportdll是伪造的

3、然后单击Notepad++.exe并成功劫持图像描述

4、POC文件

管理员已设置登录后刷新可查看

四、影响范围

Notepad++ <= v8.8.3

五、修复建议

Notepad++ > v8.8.3

六、参考链接

管理员已设置登录后刷新可查看