Notepad++ 8.9.6.1 Parche de Emergencia Ante la Tormenta de Vulnerabilidades Críticas
- 28 May 2026 06:13 AM
El popular editor de texto de código abierto ha lanzado Notepad++ 8.9.6.1, una actualización de seguridad de emergencia que se produce apenas unos días después de la versión 8.9.6. Disponible desde el 26 de mayo de 2026, este lanzamiento corrige tres vulnerabilidades críticas, incluyendo dos fallos de ejecución remota de código que podían ser explotados a través de archivos de configuración maliciosos, y un problema de denegación de servicio. El desarrollador Don Ho confirmó que la actualización se lanzó de forma acelerada por razones de seguridad, sin previo aviso a la comunidad, instando a los usuarios a actualizar manualmente sus equipos de cómputo.
Tres Vulnerabilidades Críticas Bajo la Lupa
La versión 8.9.6.1 es, ante todo, un lanzamiento de seguridad prioritario.
El equipo de desarrollo ha solucionado tres vulnerabilidades que afectaban a versiones anteriores del editor, dos de ellas clasificadas con nivel de riesgo "Alto" (High) y una de nivel "Moderado" (Moderate).
CVE-2026-48778 (Alto): Ejecución de Código Arbitrario a Través de config.xml
El fallo residía en el archivo de configuración config.xml.
Un atacante con acceso a los archivos de configuración del programa podía manipular el parámetro commandLineInterpreter para ejecutar comandos maliciosos sin restricción, inyectando malware o tomando el control del sistema.
La solución implementada:
- Se restringen los intérpretes de línea de comandos permitidos exclusivamente a
cmd.exe,powershell.exeybash.exe. - Se añade una verificación de ruta (path check) para asegurar que los ejecutables se encuentran en ubicaciones seguras, como
Program FilesoWindows\System32. - Se solicita confirmación explícita al usuario antes de ejecutar cualquier comando externo que no sea nativo de Notepad++.
CVE-2026-48800 (Alto): Inyección de Comandos a Través de shortcuts.xml
La vulnerabilidad se encontraba en el archivo shortcuts.xml, específicamente en la etiqueta <Command> dentro de <UserDefinedCommands>.
Un atacante podía modificar esta entrada para ejecutar comandos arbitrarios cuando el usuario seleccionara la opción correspondiente en el menú "Ejecutar" de Notepad++.
La solución implementada:
- Se añade una advertencia y solicitud de confirmación al usuario cada vez que se intenta ejecutar un comando externo que no haya sido creado a través de la interfaz gráfica oficial del programa.
- Los comandos que utilizan el prefijo
http:ahora son bloqueados y requieren una verificación manual explícita.
CVE-2026-48770 (Moderado): Denegación de Servicio (DoS)
Un atacante local podía enviar una estructura COPYDATASTRUCT mal formada a Notepad++, provocando un cierre inesperado de la aplicación y, por tanto, una denegación de servicio.
La solución implementada:
- Se corrige el manejo de la estructura
COPYDATASTRUCTpara que ignore o procese correctamente los datos mal formados, evitando el cierre del programa.
Otras Correcciones y Regresiones
Además de los parches de seguridad críticos, Notepad++ 8.9.6.1 incorpora decenas de correcciones de errores y mejoras de estabilidad acumuladas de versiones anteriores (8.9.4, 8.9.5 y 8.9.6).
La siguiente tabla resume las más relevantes:
| Categoría | Descripción |
|---|---|
| Instalador | Corregido CVE-2026-46710 (vulnerabilidad del instalador que permitía ejecución de código). Se solucionaron regresiones en el instalador x86: falta de entrada en "Desinstalar programas", fallos de integración del menú contextual y nombre incorrecto en la ventana UAC |
| Editor | Comportamiento incorrecto al guardar archivos de solo lectura; regresión que eliminaba la declaración XML al guardar archivos de Lenguaje de Usuario (UDL) |
| Núcleo | Se actualiza Scintilla a la versión 5.6.2 y Lexilla a 5.4.9, mejorando el resaltado de sintaxis y la gestión de archivos |
| Interfaz | Se añade la opción de sincronizar el nivel de zoom entre vistas; se solucionan cierres inesperados y errores visuales en diálogos y menús |
| Búsqueda | Se corrigen cierres inesperados en "Buscar en archivos" (CVE-2026-3008, CVE-2026-6539); se solucionan problemas de búsqueda con caracteres Unicode |
| Rendimiento | Se reduce el retraso en la aparición de tooltips y se optimiza la carga de la interfaz |
Debate Comunitario: La Controversia de las Nuevas Alertas de Seguridad
Las nuevas medidas de seguridad, si bien son necesarias, han generado un intenso debate en la comunidad de usuarios avanzados.
La verificación de comandos externos, que ahora exige confirmación explícita cada vez que se ejecuta una herramienta que no reside en las ubicaciones protegidas del sistema, ha sido criticada por algunos desarrolladores.
Argumentos de los usuarios:
- Muchas herramientas de desarrollo (como Strawberry Perl, compiladores GCC, intérpretes personalizados) se instalan por defecto en directorios fuera de
Program Files(ej.C:\strawberry) debido a problemas de compatibilidad con espacios en las rutas. - La nueva política fuerza a los usuarios a confirmar manualmente cada ejecución de estas herramientas sin una opción de "recordar mi decisión" o "siempre permitir".
- Esto podría hacer que el flujo de trabajo de automatización sea "inutilizable" para muchos desarrolladores que dependen de ejecutar scripts y compiladores desde el editor.
Respuesta del desarrollador (Don Ho):
Don Ho reconoció el problema y propuso una solución de compromiso que se espera para futuras versiones: la implementación de un archivo supressRunAlertDialog.xml.
Este archivo, si se coloca junto al ejecutable de Notepad++ (en un directorio protegido por UAC, como Program Files), permitiría a un usuario con privilegios de administrador desactivar las alertas de confirmación y restaurar el comportamiento anterior.
La ventaja de este enfoque es que evita almacenar la configuración de seguridad en config.xml (que no está en un directorio protegido y podría ser manipulado por un atacante para desactivar las protecciones), manteniendo así la integridad de la seguridad para la mayoría de los usuarios.
Disponibilidad y Cómo Actualizar
Dado que se trata de un lanzamiento de seguridad con vulnerabilidades activas, se recomienda a todos los usuarios aplicar la actualización manualmente con carácter prioritario.
Nota sobre la Actualización Automática
El mecanismo de actualización integrado de Notepad++ aún no ha sido habilitado para esta versión.
Los usuarios deben realizar la actualización manualmente descargando el instalador desde el sitio oficial.
Enlaces de descarga oficiales
- Sitio web oficial: notepad-plus-plus.org
- Página de descargas: notepad-plus-plus.org/downloads/v8.9.6.1/
Arquitectura x64 (64 bits):
- Instalador:
npp.8.9.6.1.Installer.x64.exe - Portable:
npp.8.9.6.1.Portable.x64.zip
Arquitectura ARM64 (64 bits):
- Instalador:
npp.8.9.6.1.Installer.arm64.exe - Portable:
npp.8.9.6.1.Portable.arm64.zip
Arquitectura x86 (32 bits):
- Instalador:
npp.8.9.6.1.Installer.exe - Portable:
npp.8.9.6.1.Portable.zip
Verificación de la Versión
Para confirmar que la actualización se ha aplicado correctamente:
- Abre Notepad++.
- Ve al menú "?" → "Acerca de Notepad++" .
- La ventana que aparece debe mostrar la versión 8.9.6.1 (64-bit) y la fecha de compilación 25 de mayo de 2026 .
Requisitos del Sistema
- Sistemas Operativos Soportados: Windows 8.1, Windows 10, Windows 11 .
- Licencia: GPL 3.0 (Software libre y de código abierto) .
Esta actualización de seguridad es particularmente importante para administradores de sistemas y usuarios que manejan archivos de configuración sensibles, ya que las vulnerabilidades corregidas podían ser explotadas para ejecutar código arbitrario en el sistema mediante archivos maliciosos. Se recomienda aplicar la actualización con carácter prioritario.