¡Alerta! Un fallo en Notepad++ permite obtener acceso total al sistema
Un nuevo fallo de seguridad ha sido identificado en el instalador de Notepad++, el popular editor de texto y código fuente para Windows.
La vulnerabilidad, registrada como CVE-2025-49144, permite a usuarios sin privilegios obtener acceso al sistema con permisos de nivel SYSTEM, lo que podría tener graves consecuencias para la seguridad de los dispositivos afectados.
CVE-2025-49144 es una vulnerabilidad de escalada de privilegios local que afecta a todas las versiones de Notepad++ hasta la v8.8.1 inclusive. Aunque por el momento no se ha detectado que esté siendo aprovechada activamente por atacantes, ya se ha publicado y retirado una prueba de concepto (PoC) para evitar que se utilice de forma maliciosa antes de lanzar el parche oficial.
El fallo radica en una búsqueda insegura de ejecutables durante el proceso de instalación. Un atacante podría engañar al usuario mediante ingeniería social o clickjacking para que descargue tanto el instalador legítimo de Notepad++ como un ejecutable malicioso en la misma carpeta (normalmente la carpeta de Descargas).
Cuando el instalador vulnerable se ejecuta, también carga el archivo malicioso con privilegios SYSTEM, permitiendo la ejecución de código con el máximo nivel de acceso en el sistema.
Este fallo fue descubierto por los investigadores de ciberseguridad Shashi Raj, Yatharth Tyagi y Kunal Choudhary. Según explicaron, la vulnerabilidad fue encontrada mientras experimentaban con técnicas de secuestro de DLL en Windows. No se trató de un ataque dirigido específicamente a Notepad++, sino de un hallazgo fortuito al analizar patrones comunes de instalación de aplicaciones.
El fallo fue comunicado de forma privada al desarrollador principal de Notepad++, Don Ho, quien ya ha implementado un cambio en el código fuente para corregir el problema.
Aunque la corrección ya ha sido integrada en el repositorio del proyecto, todavía no se ha publicado una versión estable con el parche. La versión v8.8.2 de Notepad++ está en camino, pero su lanzamiento se ha visto retrasado por problemas con el certificado de firma de código.
Don Ho ha explicado que debido a la imposibilidad de renovar dicho certificado, la nueva versión no estará firmada digitalmente. No obstante, desde la versión 7.6.6 se incluyen firmas GPG en los binarios distribuidos, lo que permite verificar su autenticidad mediante herramientas como Gpg4win o Kleopatra.
Los usuarios actuales de Notepad++ deben estar atentos y actualizar a la versión corregida en cuanto esté disponible. Hasta entonces, se recomienda no instalar el programa si se ha descargado recientemente desde fuentes no oficiales.
Los nuevos usuarios, por su parte, deben asegurarse de obtener el software únicamente desde el sitio web oficial de Notepad++ y verificar siempre las firmas digitales antes de ejecutar cualquier archivo.
