製品・ソフトウェアに関する情報

JVN脆弱性詳細

notepad-plus-plusのnotepad++におけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性

Title	notepad-plus-plusのnotepad++におけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
Summary	Notepad++は無料でオープンソースのソースコードエディタです。バージョン8.9.6.4以前では、NppCommands.cppはユーザーコマンド実行時（チェック時点）にディスク上のshortcuts.xmlのHMACを確認します。しかし、コマンドのペイロードはアプリケーション起動時に読み込まれ、その後はディスク上のファイルと再同期されないメモリ内の_userCommandsベクターから取得されます（使用時点）。起動とコマンド実行の間にshortcuts.xmlを差し替えると、HMACチェックはクリーンなファイルを検証しつつ、悪意のあるコマンドを実行します。shortcuts.xmlへの書き込み権限を持つ攻撃者は、起動前に悪意あるバージョンをディスクに置き、その直後に正規のファイルに戻すことが可能です。実行時のHMACチェックは正規のファイルを検証するためチェックに合格しますが、悪意あるペイロードはメモリから実行されます。この脆弱性はバージョン8.9.6.4で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 26, 2026, midnight
Registration Date	June 30, 2026, 11:19 a.m.
Last Update	June 30, 2026, 11:19 a.m.

CVSS3.0 : 警告
Score	6.3
Vector	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H

Affected System

notepad-plus-plus

notepad++ 8.9.6.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-52885	https://www.cve.org/CVERecord?id=CVE-2026-52885
National Vulnerability Database (NVD)
2	CVE-2026-52885	https://nvd.nist.gov/vuln/detail/CVE-2026-52885

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html

ベンダー情報

No	Name	URL
GitHub
1	TOCTOU: HMAC Checks Disk, Executes from Memory Advisory notepad-plus-plus/notepad-plus-plus GitHub	https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-qm4c-qg8p-qfcr

その他

No	Name	URL
関連文書
1	Fix TOCTOU (Time-of-check to time-of-use) of HMAC implementation notepad-plus-plus/notepad-plus-plus@4f7563c GitHub	https://github.com/notepad-plus-plus/notepad-plus-plus/commit/4f7563c7c7f8ffa0d795ec86a7777067c7d644b5

Change Log

No	Changed Details	Date of change
1	[2026年06月30日] 掲載	June 30, 2026, 11:19 a.m.

NVD Vulnerability Information

CVE-2026-52885

Summary	Notepad++ is a free and open-source source code editor. Prior to 8.9.6.4, NppCommands.cpp checks the HMAC of the on-disk shortcuts.xml at the moment a user command fires (Time-of-Check). However, the command payload is taken from the in-memory _userCommands vector, which is populated at application startup and never re-synchronized with the on-disk file (Time-of-Use). Swapping shortcuts.xml between startup and command execution causes the HMAC check to validate a clean file while a malicious command runs. An attacker with write access to shortcuts.xml places a malicious version on disk before launch, then immediately restores the legitimate file. The HMAC check at execution time validates the restored legitimate file (check passes), while the malicious payload executes from memory. This vulnerability is fixed in 8.9.6.4.
Publication Date	June 27, 2026, 6:16 a.m.
Registration Date	June 29, 2026, 4:17 a.m.
Last Update	June 30, 2026, 3:51 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/notepad-plus-plus/notepad-plus-plus/commit/4f7563c7c7f8ffa0d795ec86a7777067c7d644b5	security-advisories@github.com
2	https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-qm4c-qg8p-qfcr	security-advisories@github.com
3	https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-qm4c-qg8p-qfcr	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html