Notepad++ 8.9.6: Actualización crítica corrige vulnerabilidad en el instalador y estabiliza regresiones

  • 25 May 2026 01:21 AM

El popular editor de texto de código abierto ha lanzado la versión 8.9.6, una actualización de seguridad prioritaria que corrige la vulnerabilidad CVE-2026-46710 en el instalador, catalogada con un riesgo "alto" (CVSS 7.3). Disponible desde el 20 de mayo de 2026, este parche también soluciona múltiples regresiones en el instalador x86 que afectaban a la lista de programas del Panel de Control, la integración del menú contextual y la visualización de la ventana de Control de Cuentas de Usuario (UAC), junto con correcciones en la gestión de archivos de solo lectura y la exportación de Lenguajes de Usuario (UDL) en equipos de cómputo con Windows.

Don Ho, el creador de Notepad++, ha anunciado la disponibilidad de la versión 8.9.6 del editor de texto, apenas una semana después del lanzamiento de la versión 8.9.5.

Este lanzamiento se centra en parchear una falla de seguridad en el componente de actualización y en corregir errores introducidos en versiones anteriores del instalador.

Una Vulnerabilidad Silenciosa en el Instalador

El corazón de este lanzamiento es la corrección de la vulnerabilidad identificada como CVE-2026-46710.

Esta falla reside en el instalador de las versiones 8.9.4 y 8.9.5.

El Riesgo Potencial

La vulnerabilidad se debe a que el instalador invocaba el comando "powershell" sin especificar una ruta absoluta.

Esta práctica podría permitir que un atacante colocara un archivo malicioso llamado "powershell.exe" en una ubicación donde Windows busca ejecutables (variables de entorno).

Al iniciar el proceso de instalación o actualización, el sistema podría ejecutar el falso PowerShell en lugar del legítimo, permitiendo la ejecución de código arbitrario en el equipo de cómputo de la víctima.

Calificación de Riesgo

El CERT-Bund del Centro Federal para la Seguridad en la Tecnología de la Información de Alemania (BSI) ha evaluado la gravedad de esta vulnerabilidad con una puntuación CVSS de 7.3 sobre 10, lo que la clasifica como un riesgo "alto".

Correcciones en el Instalador y el Editor

Además del parche de seguridad crítico, Notepad++ 8.9.6 soluciona varios errores ("regresiones") que afectaban a la experiencia de instalación y uso del programa.

Mejoras en el Instalador (x86)

  • Lista de Programas: Se corrigió un error en el instalador de 32 bits que causaba que la entrada de Notepad++ no se mostrara correctamente en "Desinstalar un programa" del Panel de Control.

  • Menú Contextual: Se solucionó un problema que impedía que la integración con el menú contextual del Explorador de Windows se instalara o desinstalara adecuadamente.

  • UAC: Se reparó una regresión que mostraba el nombre genérico "Notepad++ installer" en la ventana del Control de Cuentas de Usuario (UAC) en lugar del nombre correcto "Notepad++", restaurando la claridad visual durante las instalaciones con permisos elevados.

Correcciones en el Editor

  • Archivos de Solo Lectura: Se corrigió un comportamiento incorrecto al intentar guardar archivos marcados como "solo lectura" que contenían cambios pendientes ("dirty").

  • Archivos UDL: Se solucionó una regresión que eliminaba la declaración XML de los archivos de Lenguajes Definidos por el Usuario (UDL) al guardarlos.

Disponibilidad y Cómo Actualizar

El equipo de desarrollo ha confirmado que la actualización automática desde versiones anteriores (8.9.5) aún no está disponible a través del mecanismo interno del programa ni mediante el comando winget upgrade --all.

Por lo tanto, se recomienda a los usuarios que deseen protegerse contra la vulnerabilidad CVE-2026-46710 que descarguen e instalen manualmente Notepad++ 8.9.6 desde el sitio web oficial del proyecto.