شناسه CVE-2025-49144 :CVE
CWE-272, CWE-276, CWE-427 :CWE
yes :Advisory
منتشر شده: ژوئن 23, 2025
به روز شده: ژوئن 23, 2025
امتیاز: 7.3
نوع حمله: Unknown

اثر گذاری: Privilege Escalation
حوزه: نرم افزارهای کاربردی
برند: notepad-plus-plus
محصول: notepad-plus-plus
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب پذیری افزایش سطح دسترسی (privilege escalation) لوکال در نصب‌کننده Notepad++ نسخه‌های 8.8.1 و قبل‌ آن شناسایی شده است. این ضعف از طریق مسیر جستجوی اجرایی کنترل‌نشده (uncontrolled search path) ایجاد شده و به مهاجمان اجازه می‌دهد با قرار دادن فایل اجرایی مخرب در دایرکتوری آسیب‌پذیر (مانند Downloads)، به سطح دسترسی SYSTEM دست یابند.

توضیحات

آسیب‌پذیری CVE-2025-49144 در نصب‌کننده Notepad++، ویرایشگر کد متن باز، نسخه های پیش از 8.8.2. ، ناشی از استفاده از مسیر جستجوی اجرایی کنترل‌نشده است که به مهاجمان اجازه می‌دهد فایل اجرایی مخرب مانند regsvr32.exe جعلی را در دایرکتوری فعلی مانند Downloads قرار دهند و هنگام اجرای نصب‌کننده، آن را با سطح دسترسی SYSTEM اجرا کنند.

این آسیب پذیری مطابق با CWE-272 (حداقل سطح دسترسی)، CWE-276 (مجوزهای پیش‌فرض نادرست) و CWE-427 (مسیر جستجو کنترل‌نشده) طبقه بندی می شود و به ضعف هایی اشاره دارد که اجازه اجرای کد با سطح دسترسی بالاتر را فراهم می کنند.

در نصب‌کننده آسیب‌پذیر، دستوراتی مانند ExecWait ‘regsvr32 /u /s “$INSTDIR\NppShell_01.dll”‘ بدون مشخص کردن مسیر مطلق (absolute path) برای regsvr32.exe اجرا می‌شوند؛ از آنجا که ویندوز هنگام اجرای یک فایل اجرایی بدون مسیر کامل ابتدا دایرکتوری جاری را جستجو می‌کند، اگر فایل مخرب در آن‌جا وجود داشته باشد، اولویت پیدا می‌کند. مهاجم می‌تواند با مهندسی اجتماعی (social engineering) یا clickjacking کاربر را فریب دهد تا فایل مخرب را کنار نصب‌کننده دانلود کند.

این حمله لوکال بوده با سطح دسترسی پایین و تعامل کاربر (مانند اجرای نصب‌کننده) قابل اجرا است و می‌تواند منجر به دسترسی کامل به سیستم (full system takeover) شود. از پیامدهای احتمالی می‌توان به اجرای reverse shell با سطح SYSTEM، سرقت داده‌ها یا نصب بدافزار و تأثیر شدید بر محرمانگی، یکپارچگی و در دسترس‌پذیری اشاره کرد.

کداثبات مفهومی (PoC) منتشر شده شامل کامپایل regsvr32_loader.c با shellcode (مانند Meterpreter) و قرار دادن آن در دایرکتوری نصب‌کننده است. این آسیب‌پذیری در نسخه 8.8.2 با اصلاح فراخوانی به مسیر مطلق سیستم (مثلاً استفاده از ‘$SYSDIR\regsvr32.exe’) پچ شده است.

CVSS

Score	Severity	Version	Vector String
7.3	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected at < 8.8.2	notepad-plus-plus

لیست محصولات بروز شده

Versions	Product
v8.8.2	notepad-plus-plus

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که notepad-plus-plus را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

Search Query (Dork)

Product

292

site:.ir “notepad-plus-plus”

notepad-plus-plus

نتیجه گیری

این آسیب پذیری با شدت بالا در Notepad++ امکان افزایش سطح دسترسی تا حساب SYSTEM را فراهم می کند. برای جلوگیری از آسیب پذیری، اجرای فوری اقدامات زیر توصیه می شود:

به‌روزرسانی فوری: Notepad++ را به نسخه 8.8.2 یا بالاتر به روزرسانی کنید تا اصلاح مربوط به استفاده از مسیرهای مطلق (absolute paths) اعمال شود.
محدودسازی مجوزها: مجوزهای نوشتن در دایرکتوری‌های کاربر مانند Downloads را محدود کنید و از اجرای فایل‌ها در این مسیرها جلوگیری نمایید.
استفاده از ابزارهای امنیتی: از مکانیزم‌های کنترل اجرای برنامه مانند AppLocker، WDAC (Windows Defender Application Control) یا SRP (Software Restriction Policies) استفاده کنید تا اجرای باینری‌های امضانشده از دایرکتوری‌های قابل‌نوشت کاربر مسدود شود.
نظارت و اسکن: لاگ‌های سیستم را برای اجرای exe خارج از مسیرهای سیستم نظارت کنید و از راهکارهای تشخیص و پاسخ (EDR/XDR) برای شناسایی نشانه‌هایPoC مانند اجرای reverse shell بهره ببرید.
بررسی امضا: فقط فایل‌های نصب‌کننده با امضای دیجیتال معتبر را اجرا کنید و از دانلود از منابع ناشناخته اجتناب ورزید.
آموزش کاربران: کاربران را در مورد ریسک مهندسی اجتماعی و دانلود فایل‌های مخرب آگاه کنید و نصب نرم‌افزار را به مدیران محدود نمایید.
اجرای امن و تنظیمات خودکار: در صورت امکان Notepad++ را در حالت کاربر (user mode) اجرا کنید و به‌روزرسانی خودکار (auto-update) را فعال نگه دارید تا از نیاز به افزایش سطح دسترسی غیرضروری جلوگیری شود.

رعایت این راهکارها، ریسک افزایش سطح دسترسی (privilege escalation) را به حداقل رسانده و امنیت سیستم‌های ویندوز را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این ضعف امکان دسترسی اولیه را از طریق User Execution فراهم می‌آورد: مهاجم کاربر را با مهندسی اجتماعی یا clickjacking ترغیب می‌سازد تا نصب‌کننده را اجرا یا فایل اجرایی مخرب را در همان دایرکتوری مثلاً Downloads قرار دهد؛ اجرای نصب‌کننده با تعامل کاربر (UI:R) نقطه ورود محلی به سیستم است.

Execution (TA0002)
حمله با اجرای باینری مخرب در مسیر جستجوی اجرایی ویندوز مثلاً regsvr32 جعلی منجر به اجرای کد با سطح دسترسی بالا می‌شود؛ این اجرای ناخواسته می‌تواند شامل بارگذاری DLL، فراخوانی regsvr32 یا اجرای shellcode باشد.

Persistence (TA0003)
پس از بهره‌برداری، مهاجم می‌تواند مکانیزم‌هایی برای تداوم دسترسی برقرار کند — ایجاد سرویس‌های سیستمی، ثبت‌نام DLL های مخرب یا ایجاد حساب‌های با مجوزهای بالاتر — که تا زمان پاک‌سازی یا بازگردانی سیستم باقی می‌مانند.

Privilege Escalation (TA0004)
آسیب‌پذیری یک بردار افزایش سطح دسترسی محلی است که به مهاجم با سطح کاربری پایین اجازه می‌دهد اجرای کد را به سطح SYSTEM ارتقاء دهد؛ ریشه در استفاده از مسیرهای نسبی/غیرمطلق هنگام فراخوانی باینری‌های حساس است.

Defense Evasion (TA0005)
بهره‌برداری با جایگزینی باینری‌های مشروع در دایرکتوری‌های قابل‌نوشت کاربر و اجرای آن‌ها توسط نصب‌کننده می‌تواند رفتارها را شبیه فرآیندهای قانونی نشان دهد و تشخیص مبتنی بر لاگ‌های ساده یا امضای باینری را دور بزند.

Discovery (TA0007)
پس از نفوذ، مهاجم قادر است پیکربندی سیستم، مسیرهای نصب، مجوزهای دایرکتوری و فهرست باینری‌های راه‌انداز را جستجو کند تا سایر نقاط آسیب‌پذیر برای اجرای مشابه یا توزیع بدافزار را شناسایی نماید.

Lateral Movement (TA0008)
در محیط‌های شبکه‌ای که دسترسی SYSTEM به منابع مشترک یا مجوزهای شبکه‌ای می‌دهد، بهره‌برداری محلی می‌تواند به حرکت افقی منجر شود؛ مهاجم با امتیازات SYSTEM می‌تواند سرویس‌ها، اشتراک‌ها یا حساب‌های دیگر را هدف بگیرد.

Impact (TA0040)
دسترسی SYSTEM می‌تواند منجر به کنترل کامل میزبان، نصب بک‌دور، استخراج داده‌های حساس و اختلال کامل در یک یا چند سیستم شود که پیامدهای محرمانگی، یکپارچگی و دسترس‌پذیری را به‌طور جدی تحت‌تأثیر قرار می‌دهد.

منابع

گزارش اثبات آسیب‌پذیری – CVE-2025-49144

اطلاعات آسیب پذیری

محصول آسیب پذیر: Notepad++ Windows installer

عنوان: Local Privilege Escalation via Insecure Executable Search Path
شناسه: CVE-2025-49144
وضعیت مشاوره : Advisory / Patch available
نمره CVSS تقریبی 7.3 (High)

محصول/نسخه‌های آسیب‌پذیر

Notepad++ Windows installer نسخه‌های 8.8.1 و قبلی آسیب‌پذیری در جریان اجرای Installer رخ می‌دهد؛ خودِ برنامه Notepad++ پس از نصب به صورت مستقیم در این نقص درگیر نیست
شرایط بهره‌برداری نیازمند قلمرو نوشتنی محلی مثلاً پوشه‌ی Downloads کاربر یا توانایی قراردادن فایل‌ها در همان دایرکتوری اجرای نصب‌کننده است.

ریشه مشکل

نصب‌کننده ویندوزی Notepad++ (نسخه‌های ≤ 8.8.1) هنگام فراخوانی ابزارهای سیستمی از نام‌های بدون مسیرِ کامل استفاده می‌کرد که باعث می‌شود ویندوز در جستجوی فایل اجرایی، پوشه جاری را در اولویت قرار دهد. در نتیجه مهاجم محلی می‌تواند یک فایل اجرایی مخرب با همان نام مثلاً regsvr32.exe را در همان پوشه قرار دهد و در زمان اجرای نصب‌کننده آن فایل توسط فرایند نصب با سطح دسترسی elevated اجرا شود — که در نهایت منجر به افزایش سطح دسترسی محلی به NT AUTHORITY\SYSTEM می‌گردد. سازنده وصله نصب‌کننده (v8.8.2) را منتشر کرده است.

پیش‌نیازهای بهره‌برداری (Prerequisites)

مهاجم دسترسی نوشتن محلی به پوشه‌ای که نصب‌کننده در آن اجرا می‌شود مثلاً %USERPROFILE%\Downloads داشته باشد، یا بتواند کاربر را فریب دهد تا نصب‌کننده را از پوشه کنترل‌شده مهاجم اجرا کند.
اجرای محلی نصب‌کننده‌ی آسیب‌پذیر توسط قربانی از همان پوشه نیاز است
هیچ پیش‌نیاز شبکه‌ای یا از راه دور لازم نیست — بهره‌برداری محلی است.

نتیجه مورد انتظار در حالت امن (Expected Secure Behavior)

نصب‌کننده باید از مسیرهای مطلق برای فراخوانی ابزارهای سیستمی استفاده کند (مثلاً C:\Windows\System32\regsvr32.exe یا از API هایی بهره ببرد که تحت تأثیر working directory قرار نمی‌گیرند.
نصب‌کننده نباید فایل‌های اجرایی را از پوشه جاری اجرا کند یا بدون چک امضای دیجیتال و مسیر مطمئن، فرآیندهای فرزند را اجرا نماید.
اجرای بسته‌ها باید از مسیرهای کنترل‌شده ادمین انجام شود، نه از پوشه‌های قابل نوشتن کاربر.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

فوری (Immediate)

بروزرسانی فوراً: نصب‌کننده را به نسخه رسمی 8.2 یا بالاتر ارتقا دهید (از وب‌سایت رسمی یا کانال‌های رسمی توزیع دانلود کنید).
در صورت عدم امکان پچ فوری: از اجرای نصب‌کننده از پوشه‌های قابل‌نوشتن کاربر خودداری کنید؛ فایل نصب را به مسیر کنترل‌شده‌ی ادمین مثلاً C:\Installers منتقل و از آنجا اجرا کنید.
بررسی یک‌باره: هر سیستمی را که نصب‌کننده آسیب‌پذیر از پوشه‌ای قابل نوشتن اجرا شده است، به‌عنوان «مشکوک» در نظر بگیرید و جهت شواهد فروزش (forensic) بررسی کنید.

کوتاه‌مدت / میان‌مدت (Medium)

اعمال سیاست‌های محدودسازی نوشتن روی پوشه‌های عمومی (Downloads/Desktop) با ACLs یا پالیسی‌های گروهی.
فعال‌سازی و اعمال AppLocker / Windows Defender Application Control (WDAC) برای جلوگیری از اجرای فایل‌های unsigned یا اجرای باینری‌هایی با نام ابزارهای سیستمی از مسیرهای غیرسیستم.
آموزش کاربران: از کاربران بخواهید فایل‌های نصب را پیش از اجرا به محل ایمن منتقل کنند و از اجرای مستقیم فایل‌ها از پوشه Downloads خودداری کنند.

بلندمدت (Long-term)

توزیع متمرکز نرم‌افزار در سازمان (SCCM, Intune)؛ حذف نیاز به اجرای محلی نصب‌کننده توسط کاربر نهایی.
از سازنده بخواهید بسته‌بندی نصب‌کننده را تقویت کند: استفاده از مسیرهای مطلق، اعتبارسنجی امضا، و ثبت جامع Telemetry هنگام اجرای child-processها.
نظارت مستمر (EDR) و قوانین شکار تهدید (hunting rules) برای شناسایی الگوهای شایبه؛ و تست‌های نفوذ دوره‌ای برای نصب‌کننده‌ها.

تشخیص و مانیتورینگ (Detection & Monitoring)

پیگیری فرایندها: شناسایی installer processes مانند npp_installer.exe, setup.exe که از مسیرهای غیرسیستمی مثلاً %USERPROFILE%\Downloads\regsvr32.exe فرایند فرزند spawn می‌کنند.
نظارت فایل‌سیستم: هشدار برای ایجاد فایل‌های اجرایی جدید در پوشه‌های عمومی کاربر با نام‌هایی شبیه ابزارهای سیستم.
تحلیل امضا/هش: اجرای قوانینی که باینری‌های unsigned یا با هش ناشناس را که نام ابزارهای سیستمی دارند، مسدود یا علامت‌گذاری کنند.
همبسته‌سازی لاگ: مرتبط‌سازی زمان اجرای نصب‌کننده با وجود فایل‌های اجرایی جدید در همان دایرکتوری.

واکنش به حادثه (Incident Response)

در صورت مظنون بودن به بهره‌برداری: میزبان را از شبکه جدا کنید
جمع‌آوری شواهد: نصب‌کننده، فایل‌های اجرایی موجود در دایرکتوری نصب، لاگ‌های فرایند، MFT، شاخه‌های رجیستری autoruns، scheduled tasks، و telemetry EDR را ضبط کنید.
تحلیل و پاک‌سازی: بررسی persistence، حذف artifacts، و در صورت شک به تداوم نفوذ — بازنگری و re-image از تصویر قابل اطمینان.
تعویض کلیدها/رمزها: در صورت دسترسی احتمالی به credentialها، گردش (rotation) سریع کلیدها و توکن‌ها.
گسترش جست‌وجو: شناسایی سایر میزبان‌هایی که نصب‌کننده آسیب‌پذیر از پوشه‌های قابل‌نوشتن اجرا شده و اولویت‌بندی آنها برای بررسی.

جریان حمله (Attack Flow)

در شکل شماره 1 جریان حمله مربوط به سوءاستفاده از این آسیب پذیری را میتوان دید.

شکل 1: جریان حمله

اثبات مفهوم (PoC) — هشدار امنیتی

تیم فنی Vulnerbyte اثبات این آسیب پذیری را در محیط ایزوله آزمایشگاه انجام داده و نتیجه در تصویر شماره 2 قابل مشاهده است.

شکل 2: اجرای POC آسیب پذیری

در این اسکرین‌شات کنسول Metasploit در حال اجراست و ماژول exploit/multi/handler با payload نوع windows/x64/meterpreter/reverse_tcp پیکربندی و یک جلسه Meterpreter باز شده، که نشان‌دهنده برقراری یک ارتباط معکوس موفق از میزبان قربانی به سرور حمله‌کننده است; هم‌زمان پنجره نصب‌کننده Notepad++ نسخه آسیب‌پذیر (v8.8.1) نمایش می‌دهد که فایل اجرایی با نامی شبیه regsvr32.exe در همان پوشه نصب‌کننده حضور دارد. این ترکیب فایل جعلی کنار نصب‌کننده + Meterpreter session باز، مدرک قویِ اجرای موفقِ بهره‌برداری و دسترسی سطح بالا به سیستم است.

در پنجره راست یک فایل یک باینری ویندوزی از نوع PE استفاده شده است. نام فایل (regsvr32.exe) و زمینهارسال آن برای سناریوی binary-planting مربوط به CVE-2025-49144 است. یعنی هدفش قرار گرفتن کنار یک installer تا هنگام اجرا، کد مهاجم با امتیاز elevated اجرا شود.

منابع (References)

CVE-2025-49144 – Local Privilege Escalation via Insecure Executable Search Path (Binary Planting)

CVE ID: CVE-2025-49144
Severity: High

Affected Systems:

Notepad++ Windows installer versions 8.8.1 and earlier
Systems where an attacker can place files in the same directory as the installer or has local write access to it.

Patched In: Notepad++ v8.8.2 (installer fixed to use absolute paths).

References:

NVD — CVE-2025-49144
CyberProof analysis
Qualys ThreatProtect Advisory
Wiz Vulnerability Database
Notepad++ GitHub vendor note — installer update v8.8.2

Description

An insecure executable search path (binary planting / CWE-427) exists in the Notepad++ Windows installer (v8.8.1 and earlier).
The installer executes system utilities like regsvr32.exe without specifying their absolute paths, causing Windows to search the current directory first.
If a malicious executable with the same name is placed in the same folder as the installer (e.g., the user’s Downloads folder), it will be executed under the installer’s elevated privileges (SYSTEM).
This flaw enables local privilege escalation.

Prerequisites

Attacker can write to, or control, the folder where the Notepad++ installer is executed (commonly user-writable folders such as %USERPROFILE%\Downloads).
Victim runs the vulnerable installer from that directory.
No network or remote code execution is required; the attack is local.

Proof of Concept (PoC)

(For analysis and lab testing only)

copy shell.exe "C:\Users\User\Downloads\regsvr32.exe"
copy npp.8.8.1.Installer.exe "C:\Users\User\Downloads"
start "" "C:\Users\User\Downloads\npp.8.8.1.Installer.exe"

The malicious regsvr32.exe is executed as SYSTEM during installation.

Expected Result

Installers must call executables via fully qualified system paths
(e.g., C:\Windows\System32\regsvr32.exe) to prevent execution from untrusted folders.

Mitigation / Patch Guidance

Patch immediately — upgrade to Notepad++ v8.8.2 or newer.
Never run installers from Downloads or Desktop — move them to admin-controlled paths (e.g., C:\Installers).
Restrict user write access to directories where elevated installers are executed.
Use application allowlisting (AppLocker, WDAC) to block unsigned binaries mimicking system utilities.
Validate installer integrity — check vendor signatures and official checksums.

Detection & Monitoring

Monitor for processes (e.g., setup.exe, npp_installer.exe) launching executables named like Windows system tools (regsvr32.exe, cmd.exe) from non-system paths.
Alert on creation of executable files in user-writable folders with names matching system utilities.
Correlate installer execution logs with unsigned binaries spawned from Downloads or Desktop.

Incident Response

Isolate affected machines if exploitation is suspected.
Collect:
- installer binary, malicious executable, system and process logs, autorun and task scheduler entries.
If SYSTEM compromise confirmed — reimage, rotate credentials, and re-verify installer sources.

Disclaimer

This report is for defensive cybersecurity and patch management purposes only.
Testing or exploitation on systems without authorization is prohibited.

،نصب‌کنندهNotepad++CVE-2025-49144 CWE-272 CWE-276 CWE-427 Incorrect Default Permissions Least Privilege Violation notepad-plus-plus Notepad++Privilege Escalation SYSTEM سطح_ دسترسی Uncontrolled Search Path Element افزایش_ سطح_ دسترسی

CVE-2025-49144

Notepad++ Privilege Escalation In Installer Via Uncontrolled Executable Search Path