Notepad++ 爆出高危零点击 RCE 漏洞 (CVE-2026-52884)，路径穿越可致远程代码执行

近日，知名开源文本编辑器 Notepad++ 被曝存在一个极其严重的远程代码执行（RCE）漏洞，漏洞编号为 CVE-2026-52884。该漏洞的核心在于一个路径穿越（Path Traversal）缺陷，攻击者可利用此漏洞绕过预设的目录限制，在目标系统上写入恶意文件并执行任意代码。

最令安全社区不安的是，该漏洞被定义为“零点击”（Zero-Click）触发。这意味着攻击者无需诱导用户点击恶意链接或手动打开特定文件，通过构造特定的路径请求或利用软件的自动加载机制，即可在用户毫无察觉的情况下夺取系统控制权。这种攻击方式极大地降低了漏洞利用的门槛，显著提升了大规模自动化攻击的可能性。

Notepad++ 作为全球开发者和系统管理员广泛使用的轻量级编辑器，其庞大的用户基数使得该漏洞的潜在影响范围极广。安全专家警告，一旦该漏洞被恶意软件或高级持续性威胁（APT）组织利用，可能导致敏感源代码泄露、系统凭据被窃以及企业内网被渗透。建议所有用户立即检查更新，升级至最新安全版本以封堵该漏洞。

来源： HackerNews 报告