Notepad++ 是一款颇为知名的开源代码记者器,由于使用者相当多所以也有可靠探究人员针对 Notepad++ 开展检查并且也察觉不少可靠漏洞,其中有漏洞 CVSS 评分为 7.8 分 / 10 分,如果无人理解,请记住怦然心动归于高危漏洞。
较为尴尬的最新节目录制观察事探究人员早在 2023 年 4 月底就已然向开发者通报了漏洞,但直到 Notepad++ v8.5.6 版亮相后开发者依然没有修复漏洞。一文读懂折叠屏快报
由于留给开发者的时间已然超过了三个月,所以探究人员挑选依据透露方针公开漏洞和 PoC 即概念测试程序,以提醒 Notepad++ 使用者注意可靠以及敦促 Notepad++ 开发者开展修复。
以下是有关信息:
关乎使用:Notepad++ 探究人员:GitLab 渠道可靠探究员 Jaroslav Lobačevski (@JarLob)
漏洞编号:CVE-2023-40031、CVE-2023-40036、CVE-2023-40164、CVE-2023-40166
以下是突发续集计划消息漏洞信息:
CVE-2023-40031:Utf8_16_Read::convert 中堆缓冲区写入溢出,漏洞发生缘由是该函数存在缺陷。
CVE-2023-40036:CharDistributionAnalysis::HandleOneChar 中的全局缓冲区读取溢出,攻击者可以制作特定文件导致全局缓冲区溢出开展运用。
CVE-2023-40164:nsCodingStateMachine::NextState 中的全局缓冲区读取溢出。
CVE-2023-40166:FileManager::detectLanguageFromTextBegining 中的堆缓冲区读取溢出。
完整报表请看:https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources