Kritische Schwachstelle in Notepad++

11.12.2025 - Warnmeldung

Die CSBW warnt vor einer kritischen Sicherheitslücke im weitverbreiteten Text-Editor Notepad++. Das Entwickler-Team stellt ein Update zur Verfügung, das die Lücke schließt.

Auto-Updater betroffen

Das Entwickler-Team der Software Notepad++ veröffentlichte am 9. Dezember 2025 die gepatchte Version 8.8.9 des Text-Editors, die eine kritische Schwachstelle schließt. Die Sicherheitslücke ohne CVE-Kennung betrifft den Auto-Updater WinGUp von Notepad++.

Durch die Lücke wurden automatisierte Update-Downloads für Notepad++ über WinGUp teilweise auf fremde Server umgeleitet, über die dann statt Updates verschiedene Malware auf die Systeme geladen wurde. Über diese Schad-Software könnten Angreifende Remote Code Execution (RCE) herbeiführen.

Empfehlung

Installieren Sie umgehend die Version 8.8.9 von Notepad++.

Weitere Informationen

Warnmeldung von Notepad++ und Release Notes zu v8.8.9 (engl.)
Schwachstellenmeldung des BSI
Bericht von Borncity