Investigadores de seguridad han demostrado que el parche aplicado en Notepad++ 8.9.6.1 para corregir la vulnerabilidad CVE-2026-48800 —que añade una validación isInTrustedDirectory() antes de ejecutar comandos definidos en shortcuts.xml— puede ser eludido con técnicas de path traversal y abusando de ejecutables legítimos del sistema. La función de comprobación utiliza un chequeo de prefijo (PathIsPrefix) sobre rutas como C:\Windows\System32\ o C:\Program Files\, pero no canonicaliza previamente la ruta, de modo que cadenas como C:\Windows\System32....\Users\victima\Downloads\mimikatz.exe superan el filtro y se ejecutan sin mostrar ningún aviso. La segunda vía de bypass aprovecha que cmd.exe, powershell.exe y rundll32.exe, residentes en directorios confiables, pueden lanzar cualquier payload arbitrario (por ejemplo, cmd.exe /c calc.exe) sin disparar la advertencia de seguridad. El análisis incluye varios escenarios de ataque reales: la escritura directa en %APPDATA%\Notepad++\shortcuts.xml, el uso de un acceso directo .lnk malicioso con el parámetro -settingsDir= apuntando a un recurso de red, y el envenenamiento de la configuración sincronizada en la nube (OneDrive, Dropbox). Las pruebas de concepto (PoC) proporcionadas ejecutan mimikatz y la calculadora de Windows de forma silenciosa en la versión parcheada. La CVSS 3.1 asignada es 7.8 (alta), con impacto de ejecución arbitraria de código sin confirmación del usuario. Los autores recomiendan a los usuarios no ejecutar Notepad++ desde accesos directos o directorios no controlados, supervisar el contenido de shortcuts.xml y evitar la sincronización de esa carpeta en servicios cloud hasta que se publique una corrección completa del fallo.
Descubren un bypass crítico del parche CVE-2026-48800 en Notepad++ 8.9.6.1
