[TLP:CLEAR]
bollettino di sicurezza 116/2026
Aggiornamenti Notepad++
11-06-2026
notepad++, os-command-injection, improper-input-validation, local-exploit, cwe-78, cwe-20
descrizione
Notepad++ ha rilasciato aggiornamenti che correggono tre vulnerabilità nelle versioni precedenti alla 8.9.6.1.Due vulnerabilità classificate CWE-78 (OS Command Injection) interessano il prodotto con vettore locale a bassa complessità, senza requisito di privilegi ma con necessità di interazione utente, con impatto su riservatezza, integrità e disponibilità (CVSS 7.8).
Una terza vulnerabilità classificata CWE-20 (Improper Input Validation) presenta vettore locale a bassa complessità con requisito di privilegi bassi e senza interazione utente, con impatto esclusivo sulla disponibilità (CVSS 5.0).
Al momento della compilazione di questo bollettino, non ci sono dati MITRE/NIST per le CVE.
I valori riportati sono derivati dalle informazioni fornite dal vendor
note
Tutte e tre le vulnerabilità hanno vettore di attacco locale (AV:L) e complessità bassa (AC:L), con scope invariato (S:U).Le due CVE CWE-78 (CVSS 7.8) richiedono l'interazione dell'utente (UI:R) ma non necessitano di privilegi (PR:N): l'impatto è su riservatezza, integrità e disponibilità (C:H/I:H/A:H). La condizione di sfruttamento presuppone quindi un'azione da parte dell'utente locale.
La CVE CWE-20 (CVSS 5.0) non richiede interazione utente (UI:N) ma richiede privilegi locali bassi (PR:L): l'impatto è limitato alla disponibilità (C:N/I:N/A:H).
Tutti i CPE indicano come versioni affette le release di Notepad++ precedenti alla 8.9.6.1.
I valori EPSS per tutte e tre le CVE sono a zero con percentile zero, indicando assenza di dati predittivi di sfruttamento al momento della pubblicazione. Il priority_score calcolato è pari a zero per tutte, con priorità classificata "low".
Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.
CVE
| CVE | CVSS | EPSS | priority |
|---|---|---|---|
| CVE-2026-48770 | 3.1: 5.0 | 0.000% | 0.00% | low |
| CVE-2026-48778 | 3.1: 7.8 | 0.000% | 0.00% | low |
| CVE-2026-48800 | 3.1: 7.8 | 0.000% | 0.00% | low |
NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| CWE-20 | Improper Input Validation |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| Notepad++ |
Notepad++
|