テキストエディター「Notepad++」に脆弱性、設定ファイル経由の任意コード実行など【6月4日追記】

「Notepad++」v8.9.6.1

　テキストエディター「Notepad++」の最新版v8.9.6.1が、5月26日にリリースされた。3件のセキュリティ脆弱性を修正するアップデートとなっている。

　修正された脆弱性は以下の通り。

• CVE-2026-48770：WM_COPYDATA メッセージを悪用したアプリのクラッシュ。ローカルサービス拒否（Moderate）
• CVE-2026-48778：「config.xml」ファイルを介した任意コード実行の問題（High）
• CVE-2026-48800：「shortcuts.xml」ファイルを介したユーザーコマンドインジェクション（High）

　「config.xml」と「shortcuts.xml」はいずれも「Notepad++」の設定ファイルで、これらが細工されたファイルに置き換えられた場合に任意のコードが実行されるおそれがある。

　なお、5月21日にリリースされたv8.9.6でもインストーラーの脆弱性（CVE-2026-46710）が修正されているので注意。できるだけ早いアップデートが望ましい。

　「Notepad++」は、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター。コンパクトなプログラムサイズと実行速度を重視しており、エディターコンポーネント「Scintilla」をベースに、C++言語（STL）とWin32 APIだけで構築されているのが特徴だ。幅広いプログラミング言語をカバーしたコード補完とシンタックスハイライト（構文色分け）を備えるなど、「メモ帳」代替アプリとしての機能も充実している。対応OSはWindows 8.1/10/11で、ライセンスは「GPL 3.0」。

［2026年6月1日編集部追記］ 5月31日付で「Notepad++」v8.9.6.2がリリースされた。v8.9.6.1で修正された脆弱性「CVE-2026-48800」への対策に回避シナリオが発見されたため、追加の修正が行われている。

［2026年6月4日編集部追記］ 6月4日付で「Notepad++」v8.9.6.4がリリースされた。v8.9.6.2で混入した、HMAC実装におけるTOCTOU（Time-of-check to time-of-use）の脆弱性が解決されている。