Ücretsiz ve açık kaynaklı bir kaynak kodu düzenleyicisi olan Notepad++’ın 8.8.1 ve önceki sürümlerinde, kurulum dosyasını etkileyen kritik bir yetki yükseltme (Privilege Escalation) güvenlik açığı tespit edildi.
Söz konusu zafiyet, Notepad++ v8.8.1 kurulum dosyasında (installer) yer alan güvensiz çalıştırılabilir dosya arama yolu (insecure executable search path) kullanımından kaynaklanmaktadır. Bu durum, yetkisiz kullanıcıların SYSTEM seviyesinde yetki elde etmesine olanak sağlamaktadır.
Bir saldırgan; sosyal mühendislik veya clickjacking yöntemleri kullanarak, kullanıcıyı hem meşru Notepad++ kurulum dosyasını hem de kötü amaçlı bir çalıştırılabilir dosyayı aynı dizine (genellikle İndirilenler / Downloads klasörü, zafiyetli dizin olarak bilinmektedir) indirmeye ikna edebilir. Kurulum dosyası çalıştırıldığında, kötü amaçlı dosya otomatik olarak SYSTEM yetkileriyle çalıştırılabilmektedir.
Güvenlik açığı giderilmiş olup, düzeltmenin Notepad++ 8.8.2 sürümü ile birlikte yayımlanması planlanmaktadır. Kullanıcıların, güvenlik risklerinden korunmak amacıyla en kısa sürede güncel sürüme geçmeleri önerilmektedir.
Söz konusu güvenlik açığı, CVE-2025-49144 numarası ile kayıt altına alınmış olup, detaylı teknik bilgilere NVD (National Vulnerability Database) üzerinden erişilebilir: https://nvd.nist.gov/vuln/detail/CVE-2025-49144