CVE-2025-15556

Опубликовано: 03 фев. 2026

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability where downloaded update metadata and installers are not cryptographically verified. An attacker able to intercept or redirect update traffic can cause the updater to download and execute an attacker-controlled installer, resulting in arbitrary code execution with the privileges of the user.

Ссылки

https://community.notepad-plus-plus.org/topic/27298/notepad-v8-8-9-vulnerability-fix
Release Notes
https://github.com/notepad-plus-plus/notepad-plus-plus/commit/bcf2aa68ef414338d717e20e059459570ed6c5ab
Patch
https://github.com/notepad-plus-plus/wingup/commit/ce0037549995ed0396cc363544d14b3425614fdb
Patch
https://notepad-plus-plus.org/news/hijacked-incident-info-update/
Patch
Vendor Advisory
https://www.vulncheck.com/advisories/notepad-plus-plus-wingup-updater-lacks-update-integrity-verification
Third Party Advisory
https://notepad-plus-plus.org//news//clarification-security-incident/
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-15556
US Government Resource

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:notepad-plus-plus:notepad\+\+:*:*:*:*:*:*:*:*

Версия до 8.8.9 (исключая)

EPSS

Процентиль: 66%

0.01268

Низкий

7.5 High

CVSS3

Дефекты

CWE-494

Связанные уязвимости

GHSA-cqx4-h5ph-3xj9

CVSS3: 7.5

github

5 месяцев назад

BDU:2025-15900

CVSS3: 7.5

fstec

7 месяцев назад

Уязвимость программного средства автоматического обновления WinGUp текстового редактора Notepad++, связанная с недостаточной проверкой подлинности файлов обновлений, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 66%

0.01268

Низкий

7.5 High

CVSS3

Дефекты

CWE-494