近日,Notepad++ v8.8.3 被披露存在一个 DLL 劫持漏洞,编号为 CVE-2025-56383,其在 CVSS 评估体系中的评分为 6.5 分。攻击者可利用该漏洞劫持 Notepad++ 加载动态链接库的过程,进而执行任意恶意代码。
根据漏洞公告说明:“Notepad++ v8.8.3 中存在 DLL 劫持漏洞,攻击者通过替换原始 DLL 文件即可植入并触发恶意代码。”
漏洞原理分析
该漏洞利用 Notepad++ 在运行过程中自动加载特定 DLL 的机制。攻击者只需将可信的 DLL 文件(例如 NppExport.dll)替换为同名恶意 DLL,即可在 Notepad++ 每次启动时自动加载并执行恶意代码。
技术公告进一步解释:“将原始 DLL(例如 Notepad++\plugins\NppExport\NppExport.dll)替换为包含恶意代码的同名 DLL,同时将原始导出函数转发至原 DLL,即可在不影响正常功能的前提下,在 notepad++.exe 启动时激活恶意代码。”
攻击影响评估
该漏洞在 Notepad++ 启动时即可被触发,攻击者能够借此在受害主机上实现持久化驻留与恶意代码执行。目前,GitHub 上已公开包含完整攻击链截图的概念验证(PoC)。PoC 展示了伪造的 NppExport.dll 如何在将调用转发至原始 original-NppExport.dll 的同时执行恶意代码,从而在维持软件正常功能的情况下破坏系统安全。
尽管利用此漏洞需要具备本地访问权限,或能够将恶意 DLL 植入 Notepad++ 的安装路径,但它显著增加了权限提升与恶意软件持久化的风险。该漏洞可能被用于供应链攻击、捆绑木马的安装程序,或作为内部威胁的攻击载体。
鉴于 Notepad++ 在开发者、系统管理员及安全从业人员中广泛使用,这一漏洞所带来的潜在攻击面不容忽视。
