人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定
DLLハイジャックの脆弱性に「CVE-2025-56383」が付番されたが現在は係争中
https://forest.watch.impress.co.jp/docs/news/2053348.html

「Notepad++」はプラグイン機構を備えており、プラグインDLLを追加することで機能を拡充できる。「CVE-2025-56383」の報告者は、「Notepad++」がプラグインDLLを探す処理(検索パス)に問題があり、正規のプラグインDLLの代わりに偽のプラグインDLLを読み込ませることができると主張している。

しかし、この攻撃を成立させるには偽のプラグインDLLを「Notepad++」のインストールフォルダーに配置する必要がある。「Notepad++」をインストーラーでセットアップした場合、このフォルダーは「C:\Program Files\Notepad++」となるが、「C:\Program Files\」は管理者権限で保護されており、偽のプラグインDLLを配置するにはユーザーの許可が必要となる(もしくはすでに別の方法でシステムが乗っ取られている)。これを脆弱性と認めるのであれば、すべてのWindowsアプリが脆弱であるということになるだろう。

「CVE-2025-56383」に関しては、現在「Disputed」(異議あり、係争中)というステータスになっている。

「Notepad++」の開発チームは、一部“セキュリティ専門家”たちの権威を盲目的に信頼するのをやめ、ちゃんと考えて(with common sense)PoCコードを読むよう呼び掛けている。