Foi identificada uma vulnerabilidade crítica [1] associada ao Notepad++ [2] que pode permitir a um atacante obter informação de endereços de memória ou causar a queda do aplicativo por meio de uma falha de string injection / format string controlada externamente, ao se abrir um arquivo malicioso formatado para o ataque.

Notepad++ é um editor de texto e código-fonte gratuito e de código aberto para Windows. Atuando como um substituto avançado do Bloco de Notas, para edição rápida de logs/código/configsm, ele oferece destaque de sintaxe para diversas linguagens de programação, suporte a plugins, busca com regex e macros. É extremamente utilizado por desenvolvedores, sysadmins e analistas com milhões de downloads históricos no SourceForge/GitHub.

A NVD [1] registra a descrição e a classe CWE-134 – “Use of Externally-Controlled Format String” [3] (Uso de String de Formato Controlada Externamente)

CVSS v4.0: 10.0 (Crítico) – AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N

Versões afetadas

As versões afetadas pela CVE-2026-3008 são confirmadas como Notepad++ 8.9.3. São potencialmente afetadas as versões anteriores a 8.9.4 (ex.: 8.9.x até 8.9.3), mas fontes focam na 8.9.3. O NVD ainda não lista CPEs exatas (aguardando enriquecimento de acordo com a nova política)

Disponibilidade de PoC

Já existe PoC publicamente disponível. O PoC demonstra a exploração via modificação do arquivo nativeLang.xml com placeholders % (ex.: %s, %p) no campo "find-result-hits", acionado na funcionalidade FindInFiles. Isso força o uso inseguro de wsprintfW sem validação de parâmetros variáveis, vazando registros/stack ou causando crash.

O cenário de exploração envolve a criação de um arquivo malicioso (e.g., .txt ou .log) contendo especificadores de formato de string arbitrários e mal-intencionados (como %p, %s, %n). Quando este arquivo é processado pelo parser do Notepad++, a vulnerabilidade de format string é acionada. Isso pode resultar em leitura arbitrária de memória (vazamento de dados da heap/stack) ou na corrupção da memória, levando a uma negação de serviço (crash da aplicação). A exploração não exige privilégios elevados no sistema operacional e pode ser iniciada através de vetores de entrega comuns, como anexos de e-mail, compartilhamentos de rede ou dispositivos USB removíveis.

Solução

Atualizar para versão 8.9.4 do Notepad++ [2],  fixa o crash no FindInFiles causado por “%s” no nativeLang.xml.

Referências

[1] CVE-2026-3008  NVD Detail

[2] Notepad++ GitHub – https://github.com/notepad-plus-plus/notepad-plus-plus/releases/tag/v8.9.4

[3] CWE-134 – Use of Externally-Controlled Format String – https://cwe.mitre.org/data/definitions/134.html