A versão 8.5.7 do Notepad++ foi lançada com correções para vários zero days, sendo um deles potencialmente levando à execução de código ao enganar os usuários a abrir arquivos especialmente criados.

O Notepad++ é um editor de código-fonte gratuito popular que suporta muitas linguagens de programação, pode ser estendido por meio de plugins e oferece recursos que aumentam a produtividade, como edição com várias abas e destaque de sintaxe.

O pesquisador de segurança do GitHub, Jaroslav Lobačevski, relatou as vulnerabilidades no Notepad++ versão 8.5.2 para os desenvolvedores nos últimos meses.

Provas de conceito para essas falhas também foram publicadas no aviso público do pesquisador, tornando essencial para os usuários atualizar o programa o mais rápido possível. A falha mais grave é a CVE-2023-40031, que pode levar à execução arbitrária de código.

No entanto, um usuário contesta que seria possível executar código usando essa falha devido ao tipo de erro que é.

Apesar do blog e das provas de conceito de Lobačevski terem sido publicados em 21 de agosto de 2023, a equipe de desenvolvimento do Notepad++ não se apressou em responder à situação até que a comunidade de usuários pressionou por sua resolução.

Finalmente, em 30 de agosto de 2023, um problema público foi criado para reconhecer o problema, e as correções para as quatro falhas foram incorporadas ao branch principal de código em 3 de setembro de 2023.