更新時間:2026/02/13 15:44:36
發佈時間:2026/02/13 15:44:36
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、 漏洞說明[1][2]
Notepad++的WinGUp更新程式存在一項更新完整性驗證漏洞(CVE-2025-15556),該漏洞源於更新機制未對下載的更新元資料(metadata)及安裝程式進行數位簽章與雜湊驗證,致更新內容無法確認其來源性與完整性,使攻擊者於攔截或重新導向更新流量的情境下,得以誘導應用程式下載並執行其控制的惡意安裝程式,進而以受影響使用者權限執行任意程式碼。
二、已揭露攻擊活動說明
1. CISA已將CVE-2025-15556納入漏洞利用清單。[2]
2. 自2025年6月起,攻擊者未經授權存取Notepad++第三方代管的更新基礎設施,並結合CVE-2025-15556漏洞發動供應鏈攻擊,鎖定東亞及大洋洲等特定目標植入Chrysalis後門程式。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-15556
描述:
使用版本:CVSS 4.0
分析分數:7.7
參考來源: NVD
▶ 影響平台
⌵
影響平台-系統:
1. Notepad++低於8.8.9所有版本受影響,建議升級至8.8.9或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://notepad-plus-plus.org/news/hijacked-incident-info-update/ | Notepad++ |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2025-15556 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://securelist.com/notepad-supply-chain-attack/118708/ | Kaspersky Securelist |
情資編號:
FISAC-200-202602-0010
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞