Six Eight Consulting
Navigation öffnen
Kontakt
Security-Analyse zu Notepad++ 8.9.6.1: XML-Konfiguration, Codeausführung und Patch-Management
Blog

Notepad++ 8.9.6.1: CVE-2026-48778 und CVE-2026-48800 patchen

Notepad++ 8.9.6.1 schließt Codeausführung über config.xml und shortcuts.xml. Betroffenheit prüfen, patchen und XML-Konfigurationen absichern.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 6 Min. Lesezeit

Notepad++ 8.9.6.1 ist ein wichtiges Security-Update: Die Version behebt drei Schwachstellen, darunter zwei Fehler, die unter bestimmten Bedingungen beliebige Codeausführung über manipulierte XML-Konfigurationen ermöglichen können. Betroffen sind Notepad++-Versionen bis einschließlich 8.9.6.

Wichtig für die Einordnung: Das ist nicht derselbe Vorfall wie das Notepad++ Update-Hijacking aus Februar 2026. Damals ging es um die Update-Infrastruktur und den Updater WinGUp. Die neuen Lücken betreffen lokale beziehungsweise benutzernahe Konfigurationsdateien wie config.xml und shortcuts.xml.

Sofortmaßnahmen in 30 Minuten

  1. 1

    Versionen erfassen

    Notepad++-Versionen per EDR, MDM oder Softwareinventar erfassen.

  2. 2

    Aktualisieren

    Alle Versionen bis 8.9.6 auf 8.9.6.1 oder neuer aktualisieren.

  3. 3

    Settings stichprobenartig prüfen

    %APPDATA%\Notepad++\config.xml und shortcuts.xml bei kritischen Rollen stichprobenartig prüfen.

  4. 4

    Telemetrie aktivieren

    EDR/SIEM-Abfragen für ungewöhnliche Child-Prozesse von notepad++.exe aktivieren.

Was ist passiert?

Am 26. Mai 2026 wurde Notepad++ 8.9.6.1 veröffentlicht. Laut Release-Hinweisen behebt die Version drei sicherheitsrelevante Probleme: einen Crash durch fehlerhaft formatierte COPYDATASTRUCT-Daten sowie zwei Schwachstellen zur Codeausführung über XML-Konfigurationen.

Behobene Schwachstellen in 8.9.6.1

Die drei in Notepad++ 8.9.6.1 behobenen Schwachstellen.
CVEKomponenteRisikoFix
CVE-2026-48778config.xmlCodeausführung über den konfigurierbaren commandLineInterpreter8.9.6.1
CVE-2026-48800shortcuts.xmlUser-Command-Injection über manipulierte User Defined Commands8.9.6.1
CVE-2026-48770WM_COPYDATACrash beziehungsweise lokale Denial-of-Service-Situation8.9.6.1

Cyber Security News hebt besonders CVE-2026-48778 hervor: Der Wert commandLineInterpreter aus config.xml wurde bislang ohne ausreichende Validierung in den Ablauf übernommen, der beim Öffnen des enthaltenden Ordners in einer Shell zum Einsatz kommt. Das GitHub-Advisory bewertet CVE-2026-48778 mit CVSS 7.8 und ordnet die Schwachstelle als CWE-78 ein.

CVE-2026-48778: Codeausführung über config.xml

Der erste kritische Pfad betrifft die Datei config.xml im Notepad++-Profil. Dort konnte der Wert für den commandLineInterpreter manipuliert werden. Wenn der Nutzer anschließend in Notepad++ die Funktion zum Öffnen des aktuellen Ordners in einer Shell verwendet, kann statt des erwarteten Interpreters ein Angreifer-kontrolliertes Programm gestartet werden.

Das klingt zunächst lokal und unspektakulär, ist aber in der Praxis relevant: Viele Entwickler- und Admin-Workstations nutzen Notepad++ als tägliches Werkzeug. Wenn ein Angreifer denselben Benutzerkontext bereits teilweise kontrolliert oder den Settings-Pfad über eine bösartige Verknüpfung beziehungsweise Cloud-Synchronisation beeinflusst, wird aus einer Konfigurationsdatei ein Ausführungspfad.

CVE-2026-48800: Risiko in shortcuts.xml

CVE-2026-48800 folgt einem ähnlichen Muster, betrifft aber shortcuts.xml. In dieser Datei speichert Notepad++ unter anderem benutzerdefinierte Befehle. Wenn dort Kommandos manipuliert werden, können legitime Menü- oder Shortcut-Aktionen unerwartet externe Programme starten. Heise beschreibt diesen zweiten Pfad als Command-Injection-Risiko in den User Defined Commands.

Die 8.9.6.1-Änderungen führen laut Community-Diskussion Warnungen beziehungsweise Einschränkungen für nicht vertrauenswürdige Ausführungsorte ein. Vertrauenswürdig sind dabei insbesondere klassische Windows- und Program-Files-Verzeichnisse; für Tools in anderen Pfaden kann das zu zusätzlichen Nachfragen führen.

Realistische Angriffswege

Für eine belastbare Risikobewertung ist wichtig, wie ein Angreifer die XML-Dateien überhaupt manipulieren könnte. Das GitHub-Advisory nennt für CVE-2026-48778 mehrere plausible Wege: direkte Schreibrechte im Benutzerprofil, eine bösartige .lnk-Verknüpfung mit -settingsDir=, kompromittierte Cloud-Synchronisation oder Social Engineering über Archive, die Dateien an erwartbaren Pfaden ablegen.

Welche Umgebungen sollten zuerst reagieren?

Priorisierung des Rollouts nach Exposition statt nach reiner Anzahl der Installationen.
Prio 1Prio 2Prio 3
Admin-Workstations, SOC, Helpdesk, Entwickler, Systeme mit privilegierten Tokens oder Zugriff auf Quellcode und Secrets.Clients mit OneDrive, Dropbox, Roaming Profiles, geteilten Notepad++-Settings oder häufiger Archiv-/Download-Verarbeitung.Standard-Clients ohne privilegierte Nutzung. Trotzdem patchen, aber nach den exponierten Rollen.

Betroffenheit prüfen

Die wichtigste Frage ist nicht nur, ob Notepad++ installiert ist, sondern welche Version und welcher Settings-Pfad verwendet werden. In zentral verwalteten Umgebungen liefern EDR, MDM, Softwareverteilung oder ein Vulnerability Scanner meist schneller Antworten als manuelle Prüfungen.

  • Version: Alle Installationen bis einschließlich 8.9.6 priorisiert aktualisieren.
  • Settings-Pfad: Prüfen, ob Notepad++ Standardpfade, -settingsDir=, Roaming Profiles oder Cloud-Pfade nutzt.
  • Dateien: config.xml und shortcuts.xml auf unerwartete Interpreter, HTTP-Aufrufe oder Pfade außerhalb vertrauenswürdiger Verzeichnisse prüfen.
  • Telemetrie: Prozessketten suchen, bei denen notepad++.exe ungewöhnliche Programme startet.

Bei einzelnen Clients reicht oft der Blick in Hilfe > Über Notepad++. Für Unternehmen ist ein Report sinnvoller: Welche Systeme sind noch auf 8.9.6 oder älter, welche davon haben privilegierte Nutzer, und welche verarbeiten regelmäßig fremde Dateien?

Patchen: Notepad++ 8.9.6.1 oder neuer

Die klare Maßnahme ist ein Update auf Notepad++ 8.9.6.1 oder neuer. Nutzen Sie den offiziellen Download, GitHub Releases oder eine intern freigegebene Paketquelle. Gerade nach dem Notepad++-Update-Hijacking Anfang 2026 sollte der Download-Pfad nicht improvisiert werden.

Kontrollierter Rollout-Ablauf

  1. 1

    Paket beziehen & prüfen

    8.9.6.1-Paket aus offizieller Quelle beziehen und Hash/Signatur prüfen.

  2. 2

    Freigeben

    Paket in Softwareverteilung oder MDM freigeben.

  3. 3

    Prio-1 zuerst

    Prio-1-Gruppen zuerst aktualisieren.

  4. 4

    Nachkontrollieren

    Nach dem Rollout Versionen erneut inventarisieren.

  5. 5

    Portable Kopien beachten

    Portable Kopien und Tools-Verzeichnisse nicht vergessen.

Monitoring und Hardening

Ein Patch schließt die konkrete Lücke. Trotzdem lohnt es sich, die zugrundeliegende Kontrollfrage dauerhaft zu beantworten: Welche Office-, Editor- und Admin-Tools dürfen aus welchen Konfigurationsdateien heraus Programme starten?

  • Child-Prozess-Monitoring: Alarmieren, wenn notepad++.exe ungewöhnliche Programme aus Temp-, Download- oder Benutzerprofilpfaden startet.
  • Settings kontrollieren: Geteilte oder cloud-synchronisierte Settings nur nutzen, wenn Integrität und Zugriff klar geregelt sind.
  • Least Privilege: Notepad++ nicht dauerhaft in privilegierten Sessions oder mit Admin-Rechten verwenden.
  • App Control: In kritischen Bereichen nur signierte und freigegebene Binaries aus vertrauenswürdigen Pfaden ausführen lassen.
  • Awareness: Bösartige Shortcuts und manipulierte Settings-Verzeichnisse gehören in die Schulung für Admins und Entwickler.

Incident Response bei Verdacht

Eine veraltete Notepad++-Version ist noch kein Kompromittierungsbeweis. Wenn aber auffällige XML-Konfigurationen, ungewöhnliche Child-Prozesse oder verdächtige Shortcut-Dateien gefunden werden, sollte die Untersuchung strukturiert erfolgen.

  • Host isolieren, falls aktive Ausführung oder Folgeaktivität sichtbar ist.
  • config.xml, shortcuts.xml, LNK-Dateien, Prozessbaum und relevante EDR-Artefakte sichern.
  • Benutzerkontext, Schreibzeitpunkte und Sync-Quellen rekonstruieren.
  • Ausgeführte Binaries hashen und gegen interne Allowlist sowie Threat-Intel-Quellen prüfen.
  • Bei privilegierten Benutzern Tokens, Zugangsdaten und betroffene Repositories beziehungsweise Admin-Systeme in die Bewertung einbeziehen.

Abgrenzung zum Update-Hijacking

Der Notepad++-Kontext ist 2026 besonders sensibel, weil bereits im Februar ein gezielter Supply-Chain-Vorfall über die Update-Infrastruktur bekannt wurde. Dieser ältere Vorfall ist unter CVE-2025-15556 geführt und wurde unter anderem mit dem Double-Lock-Design in Version 8.9.2 adressiert.

Die neuen Schwachstellen sind anders gelagert: Sie setzen an Konfigurationsdateien an und verlangen lokale beziehungsweise benutzernahe Manipulation plus eine nachfolgende Aktion. Für Unternehmen führt beides aber zur gleichen operativen Konsequenz: Notepad++ gehört ins normale Patch-, Inventory- und Detection-Programm, nicht in die Kategorie „kleines Tool, kümmern wir uns später“.

FAQ zu Notepad++ 8.9.6.1

FAQ zu Notepad++ 8.9.6.1

Welche Notepad++-Version behebt CVE-2026-48778 und CVE-2026-48800?
Notepad++ 8.9.6.1 behebt die Schwachstellen. Betroffen sind nach Herstellerangaben Versionen bis einschließlich 8.9.6.
Ist das derselbe Vorfall wie das Notepad++ Update-Hijacking aus Februar 2026?
Nein. Das Update-Hijacking betraf die Update-Infrastruktur und ist als CVE-2025-15556 bekannt. Die neuen Schwachstellen betreffen lokale Notepad++-Konfigurationsdateien und wurden mit 8.9.6.1 adressiert.
Wie kritisch ist CVE-2026-48778 in der Praxis?
Die Ausnutzung ist lokal und braucht eine anschließende Benutzeraktion in Notepad++. Kritisch wird sie, wenn Angreifer Konfigurationsdateien manipulieren können, etwa über denselben Benutzerkontext, eine bösartige Verknüpfung, geteilte Settings oder kompromittierte Cloud-Synchronisation.
Was sollten Unternehmen zuerst tun?
Inventarisieren Sie Notepad++-Versionen, rollen Sie 8.9.6.1 oder neuer aus, prüfen Sie zentrale und cloud-synchronisierte Settings und suchen Sie in EDR/SIEM nach ungewöhnlichen Child-Prozessen von notepad++.exe.

Themen

Notepad++CVE-2026-48778CVE-2026-48800CVE-2026-48770CodeausführungPatch ManagementWindows Security

Quellen

  1. Cyber Security News: Critical Notepad++ Vulnerabilities Allow Attackers to Execute Arbitrary CodeCyber Security News, Guru Baran, 28.05.2026
  2. Notepad++ release 8.9.6.1Notepad++ Community, 26.05.2026
  3. Notepad++ v8.9.6.1 downloadNotepad++ Projekt, offizieller Download
  4. GitHub Security Advisory: Arbitrary Code Execution via "commandLineInterpreter" of config.xmlGitHub Security Advisory, CVE-2026-48778, 26.05.2026
  5. heise online: Notepad++ – Gaps allow injection of malware and commandsheise online, 28.05.2026
  6. Impress Watch: Notepad++ v8.9.6.1 behebt Schwachstellen in config.xml und shortcuts.xmlImpress Watch, 28.05.2026
  7. Six Eight Consulting: Notepad++ Update-Hijacking – CVE-2025-15556 und aktuelle PatchesSix Eight Consulting, aktualisiert am 28.05.2026