1./ Tổng quan và phân tích.
CVE-2025-49144 là một lỗ hổng leo thang đặc quyền nghiêm trọng ảnh hưởng đến trình cài đặt Notepad++ phiên bản 8.8.1 và các phiên bản trước đó. Lỗ hổng này cho phép người dùng không có đặc quyền nâng cấp quyền lên mức SYSTEM thông qua đường dẫn tìm kiếm thực thi không an toàn.
Lỗ hổng bảo mật được cảnh báo trong bản cập nhật này như sau:
| STT | Lỗ hổng | Mô tả | Mức độ |
| 1 | CVE-2025-49144 | Lỗ hổng này bắt nguồn từ việc trình cài đặt Notepad++ sử dụng các đường dẫn tìm kiếm thực thi không an toàn. Kẻ tấn công có thể lợi dụng điều này bằng cách đặt một tệp thực thi độc hại trong cùng thư mục với trình cài đặt hợp pháp (thường là thư mục Tải xuống). Khi người dùng chạy trình cài đặt, tệp độc hại có thể được thực thi với quyền SYSTEM, dẫn đến việc chiếm quyền kiểm soát hệ thống. | Cao |
**Điều kiện khai thác:
- Kẻ tấn công có quyền truy cập cục bộ vào hệ thống: Lỗ hổng không thể khai thác từ xa. Người tấn công cần có quyền người dùng cục bộ (local user), ví dụ như một tài khoản người dùng không đặc quyền trên máy tính Windows.
- Người dùng (nạn nhân) phải chạy trình cài đặt Notepad++: Cần có sự tương tác của người dùng: người dùng phải chạy tệp cài đặt (.exe) của Notepad++ (phiên bản 8.8.1 hoặc cũ hơn) và chạy tệp cài đặt dưới đặc quền cao (Adminstrators) hoặc hệ thống đang cấu hình cho phép cài đặt phần mềm mà không cần mật khẩu.
- Tệp thực thi độc hại được đặt cùng thư mục với trình cài đặt: Kẻ tấn công phải đặt một tệp .exe độc hại (ví dụ: python311.dll, installerhelper.exe, v.v.) trong cùng thư mục với tệp cài đặt gốc của Notepad++. Đây thường sẽ là thư mục Downloads, nơi người dùng tải các tệp về theo mặc định.
- Không có biện pháp bảo vệ như ASR hoặc AppLocker: Nếu hệ thống có bật các công cụ phòng chống thực thi không rõ nguồn gốc như AppLocker, Microsoft Defender Attack Surface Reduction (ASR) hoặc Chính sách GPO chặn chạy .exe từ Download
2./ Khuyến nghị và chi tiết bản cập nhật
**Khuyến nghị
- Cập nhật phần mềm: Nâng cấp Notepad++ lên phiên bản 8.8.2 hoặc mới hơn.
- Kiểm tra thư mục Tải xuống: Xóa các tệp thực thi không rõ nguồn gốc khỏi thư mục Tải xuống trước khi chạy trình cài đặt.
- Thận trọng khi tải xuống: Tránh mở các tệp thực thi từ các nguồn không đáng tin cậy.
**Chi tiết bản cập nhật
| CVE Number | CVE Title | Affected Software | Fix Version |
| CVE-2025-49144 | Privilege Escalation via Binary Planting in Notepad++ Installer | Notepad++: tất cả các phiên bản trước 8.8.2 | 8.8.2 hoặc mới hơn |
Hiện tại, Notepad++ phiên bản 8.8.2 vẫn chưa được phát hành chính thức. Tuy nhiên, phiên bản Release Candidate 2 (RC2) đã được phát hành vào ngày 22 tháng 6 năm 2025, nhằm khắc phục lỗ hổng bảo mật CVE-2025-49144 và cải thiện cơ chế xác minh bảo mật bằng cách chuyển từ kiểm tra chứng chỉ sang kiểm tra SHA256.
- Notepad++ 8.8.2 RC2 (64-bit): http://download.notepad-plus-plus.org/repository/8.x/8.8.2.RC2/npp.8.8.2.Installer.x64.exe
- Notepad++ 8.8.2 RC2 (32-bit): http://download.notepad-plus-plus.org/repository/8.x/8.8.2.RC2/npp.8.8.2.Installer.exe
**Một số nguồn tham khảo:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49144
- https://www.cvedetails.com/cve/CVE-2025-49144/
- https://www.ampcuscyber.com/shadowopsintel/privilege-escalation-via-binary-planting-in-notepad-installer/
- https://notepad-plus-plus.org/downloads/
- https://github.com/notepad-plus-plus/notepad-plus-plus/commit/f2346ea00d5b4d907ed39d8726b38d77c8198f30
