JVNDB-2026-003754

notepad-plus-plusのnotepad++におけるダウンロードしたコードの完全性検証不備に関する脆弱性

Notepad++の8.8.9以前のバージョンには、WinGUpアップデーターを使用する際に、ダウンロードされた更新メタデータおよびインストーラーの暗号的な検証が行われないため、更新の整合性検証に脆弱性があります。更新トラフィックを傍受またはリダイレクトできる攻撃者は、アップデーターに攻撃者が制御するインストーラーをダウンロードおよび実行させることが可能であり、その結果、ユーザーの権限で任意のコードが実行される恐れがあります。

notepad-plus-plus

• notepad++ 8.8.9 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

notepad-plus-plus

• Notepad++ : Notepad++ Hijacked by State-Sponsored Hackers | Notepad++
• Notepad++ : Important Clarification: Notepad++ Security Incident | Notepad++

VulnCheck

• VulnCheck : Notepad++ < 8.8.9 WinGUp Updater Lacks Update Integrity Verification  | Advisories | VulnCheck

1. ダウンロードしたコードの完全性検証不備(CWE-494) [その他]

1. CVE-2025-15556

1. National Vulnerability Database (NVD) : CVE-2025-15556
2. 関連文書 : Security Enhancement: verify certificate & signature on update installer  notepad-plus-plus/notepad-plus-plus@bcf2aa6  GitHub
3. 関連文書 : Security enhancement: Add checking code signing certificate ability  notepad-plus-plus/wingup@ce00375  GitHub
4. 関連文書 : Known Exploited Vulnerabilities Catalog | CISA
5. 関連文書 : Notepad++ v8.8.9: Vulnerability-fix | Notepad++ Community

• [2026年02月17日]
    掲載