Notepad++ 8.9.6.2: Parche definitivo corrige el bypass de la vulnerabilidad de inyección de comandos
- 04 Jun 2026 08:40 AM
El popular editor de texto de código abierto ha lanzado Notepad++ 8.9.6.2, una actualización que cierra una brecha de seguridad crítica que permanecía abierta a pesar de los parches de la semana anterior. Disponible desde el 31 de mayo de 2026, esta revisión soluciona un "escenario de bypass" en la vulnerabilidad CVE-2026-48800, que podía permitir la ejecución remota de código en equipos de cómputo con Windows.
La versión 8.9.6.2 de Notepad++ se publica como una continuación directa de la actualización de seguridad 8.9.6.1, lanzada apenas unos días antes.
Mientras la versión anterior parcheaba múltiples vulnerabilidades críticas (incluyendo CVE-2026-48778 y CVE-2026-48800), los desarrolladores descubrieron que la corrección para CVE-2026-48800 era incompleta.
Existía un escenario de "bypass" que permitía reexplotar la vulnerabilidad, dejando un remanente de riesgo en los sistemas actualizados.
La vulnerabilidad corregida en 8.9.6.2
El punto central de este lanzamiento urgente es el cierre de la brecha en la mitigación de CVE-2026-48800. Esta vulnerabilidad, clasificada como crítica, residía en la manipulación del archivo shortcuts.xml (específicamente en la etiqueta <Command> dentro de <UserDefinedCommands>).
El riesgo original: Un atacante podía modificar esta entrada para ejecutar comandos arbitrarios cuando el usuario seleccionaba la opción correspondiente en el menú "Ejecutar" de Notepad++.
El problema tras el primer parche: Aunque la versión 8.9.6.1 implementó medidas para mitigar este riesgo (como advertencias al usuario y restricciones en los intérpretes de comandos permitidos), los investigadores encontraron una forma de eludir estas protecciones, permitiendo que el ataque funcionara nuevamente bajo ciertas condiciones.
La solución en 8.9.6.2: Esta actualización implementa la corrección final que elimina por completo el vector de bypass, cerrando la vulnerabilidad de forma definitiva.
Resumen de las vulnerabilidades corregidas en la serie 8.9.6
Para entender el alcance de esta actualización, es útil revisar el historial completo de parches de seguridad de la semana del 31 de mayo de 2026:
| Versión | CVE | Componente Afectado | Descripción |
|---|---|---|---|
| 8.9.6.1 | CVE-2026-48778 | config.xml |
Ejecución remota de código mediante un archivo de configuración malicioso. |
| 8.9.6.1 | CVE-2026-48800 | shortcuts.xml |
Inyección de comandos a través de comandos de usuario definidos. |
| 8.9.6.1 | CVE-2026-48770 | Mecanismo COPYDATASTRUCT |
Denegación de servicio mediante datos mal formados en comunicación entre procesos. |
| 8.9.6.2 | CVE-2026-48800 (bypass) | shortcuts.xml |
Cierre del escenario de bypass que dejaba la vulnerabilidad parcialmente abierta. |
Fuente: Neowin, UpdateStar
¿Debo actualizar si ya instalé la versión 8.9.6.1?
Sí, es fundamental hacerlo. Los propios desarrolladores han indicado que los usuarios que ya actualizaron a la versión 8.9.6.1 deben actualizar nuevamente a la versión 8.9.6.2 para garantizar que la corrección de CVE-2026-48800 sea completamente efectiva.
La rápida sucesión de parches (8.9.6, 8.9.6.1 y 8.9.6.2 en el lapso de una semana) refleja la seriedad con que el equipo de Notepad++ está tratando estas vulnerabilidades, dado que el editor es una de las aplicaciones de Windows más instaladas en el mundo y, por tanto, un objetivo atractivo para los atacantes.
Disponibilidad y cómo actualizar
Enlaces oficiales de descarga
- Sitio web oficial: notepad-plus-plus.org
- Página de descarga directa: notepad-plus-plus.org/downloads/v8.9.6.2/
Arquitectura x64 (64 bits):
- Instalador:
npp.8.9.6.2.Installer.x64.exe - Portable:
npp.8.9.6.2.Portable.x64.zip
Arquitectura ARM64:
- Instalador:
npp.8.9.6.2.Installer.arm64.exe - Portable:
npp.8.9.6.2.Portable.arm64.zip
Arquitectura x86 (32 bits):
- Instalador:
npp.8.9.6.2.Installer.exe - Portable:
npp.8.9.6.2.Portable.zip
Métodos de actualización
Actualización manual (recomendada): Dado que se trata de una actualización de seguridad crítica con un bypass detectado, se recomienda descargar e instalar manualmente desde el sitio oficial. No se ha confirmado que la actualización automática esté habilitada para esta versión específica.
Verificación de la versión: Para confirmar que la actualización se ha aplicado correctamente:
- Abrir Notepad++
- Ir al menú "?" → "Acerca de Notepad++"
- La versión debe indicar 8.9.6.2 (64-bit) y la fecha de compilación 31 de mayo de 2026
Requisitos del sistema
- Sistemas operativos soportados: Windows 8.1, Windows 10, Windows 11
- Licencia: GPL 3.0 (Software libre y de código abierto)
Esta actualización de seguridad es prioritaria para todos los usuarios de Notepad++, especialmente para aquellos que utilizan el editor en entornos corporativos o manejan archivos de configuración sensibles.
La existencia de un escenario de bypass en el parche anterior subraya la importancia de mantener el software actualizado a la versión más reciente, incluso cuando ya se ha aplicado una actualización de seguridad reciente.