Un nuevo fallo de seguridad ha sido identificado en el instalador de Notepad++, el popular editor de texto y código fuente para Windows.
La vulnerabilidad, registrada como CVE-2025-49144, permite a usuarios sin privilegios obtener acceso al sistema con permisos de nivel SYSTEM, lo que podría tener graves consecuencias para la seguridad de los dispositivos afectados.
CVE-2025-49144 es una vulnerabilidad de escalada de privilegios local que afecta a todas las versiones de Notepad++ hasta la v8.8.1 inclusive. Aunque por el etapa no se ha detectado que esté siendo aprovechada activamente por atacantes, ya se ha publicado y retirado una prueba de concepto (PoC) para evitar que se utilice de forma maliciosa antes de lanzar el parche oficial.
El fallo radica en una búsqueda insegura de ejecutables durante el proceso de instalación. Un atacante podría engañar al usuario mediante ingeniería social o clickjacking para que descargue tanto el instalador legítimo de Notepad++ como un ejecutable malicioso en la misma carpeta (normalmente la carpeta de Descargas).
Cuando el instalador vulnerable se ejecuta, también carga el archivo malicioso con privilegios SYSTEM, permitiendo la ejecución de código con el máximo nivel de acceso en el sistema.
Este fallo fue descubierto por los investigadores de ciberseguridad Shashi Raj, Yatharth Tyagi y Kunal Choudhary. Según explicaron, la vulnerabilidad fue encontrada mientras experimentaban con técnicas de secuestro de DLL en Windows. No se trató de un ataque dirigido específicamente a Notepad++, sino de un hallazgo fortuito al analizar patrones comunes de instalación de aplicaciones.
El fallo fue comunicado de forma privada al desarrollador principal de Notepad++, posibilidades Ho, quien ya ha implementado un cambio en el código fuente para corregir el problema.
Aunque la corrección ya ha sido integrada en el repositorio del proyecto, todavía no se ha publicado una versión estable con el parche. La versión v8.8.2 de Notepad++ está en camino, pero su lanzamiento se ha trillado retrasado por problemas con el certificado de firma de código.
posibilidades Ho ha explicado que debido a la imposibilidad de renovar dicho certificado, la nueva versión no estará firmada digitalmente. No obstante, desde la versión 7.6.6 se incluyen firmas GPG en los binarios distribuidos, lo que permite verificar su autenticidad mediante herramientas como Gpg4win o Kleopatra.
Los usuarios actuales de Notepad++ deben estar atentos y actualizar a la versión corregida en cuanto esté disponible. Hasta entonces, se recomienda no instalar el programa si se ha descargado recientemente desde fuentes no oficiales.
Los nuevos usuarios, por su parte, deben asegurarse de obtener el software únicamente desde el sitio web oficial de Notepad++ y verificar siempre las firmas digitales antes de ejecutar cualquier archivo.
Este nuevo fallo de seguridad en Notepad++ es una llamada de atención para todos los usuarios de Windows. Aunque el programa es ampliamente utilizado y confiable, es importante estar siempre atentos a posibles vulnerabilidades y tomar medidas de seguridad para proteger nuestros dispositivos.
Es alentador ver que el equipo de Notepad++ ha respondido rápidamente a este problema y ha trabajado en una solución efectiva. Esto demuestra su compromiso con la seguridad de sus usuarios y su capacidad para abordar problemas de manera eficiente.
Es importante recordar que la seguridad en línea es responsabilidad de todos. Los usuarios deben ser conscientes de los riesgos y tomar medidas para proteger sus dispositivos y datos. Además, los desarrolladores de software deben ser diligentes en la identificación y corrección de posibles vulnerabilidades en sus programas.
En resumen, aunque este nuevo fallo de seguridad en Notepad++ es alarmante, es una oportunidad para que todos tomemos
