
Tiga kerentanan kritis pada Notepad++ telah ditemukan dan diperbaiki pada versi v8.9.7. Kerentanan ini mencakup PowerShell command injection pada installer, stack buffer overflow pada fungsi expandNppEnvironmentStrs, dan Zip Slip path traversal pada WinGUp updater. Kombinasi ketiga kerentanan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer pada sistem korban.
APA YANG TERJADI?
Peneliti keamanan menemukan serangkaian kerentanan pada Notepad++, salah satu text editor yang paling populer di dunia. Kerentanan yang paling kritis adalah CVE-2026-52886 yang memungkinkan PowerShell command injection melalui proses instalasi. Selain itu, CVE-2026-54758 menunjukkan stack buffer overflow pada fungsi expandNppEnvironmentStrs, dan CVE-2026-57233 mengungkap Zip Slip path traversal pada komponen WinGUp updater.
Yang menarik, Notepad++ juga memiliki sistem macro yang memungkinkan shortcut execution tanpa verifikasi HMAC, yang berarti makro berbahaya dapat dijalankan tanpa validasi keamanan yang memadai. File shortcuts.xml dapat dimanipulasi untuk menjalankan perintah berbahaya saat Notepad++ dimulai.
DETAIL TEKNIS
CVE-2026-52886: Kerentanan ini terletak pada mekanisme session handling yang menggunakan file session.xml. Penyerang dapat memanipulasi session.xml untuk melakukan PowerShell command injection saat Notepad++ memuat session sebelumnya. Kerentanan ini sangat berbahaya karena memungkinkan eksekusi kode tanpa interaksi pengguna yang eksplisit.
CVE-2026-54758: Stack buffer overflow pada fungsi expandNppEnvironmentStrs memungkinkan penyerang menulis data melebihi batas buffer yang dialokasikan di stack. Dengan memanfaatkan overflow ini, penyerang dapat menimpa return address di stack dan mengalihkan alur eksekusi ke shellcode.
CVE-2026-57233: Zip Slip path traversal pada WinGUp updater memungkinkan penyerang menulis file ke lokasi arbitrer di filesystem dengan memanipulasi path dalam arsip yang diproses oleh updater. Teknik Zip Slip ini merupakan pola serangan yang sudah dikenal, namun keberadaannya pada komponen updater Notepad++ sangat berbahaya karena updater memiliki hak akses yang cukup tinggi.
DAMPAK TERHADAP INDONESIA
Notepad++ merupakan text editor yang sangat populer di kalangan developer, administrator sistem, dan pengguna umum di Indonesia. Vector serangan melalui installer Notepad++ sangat relevan untuk Indonesia, mengingat banyaknya distribusi software secara informal melalui forum dan website unduhan tidak resmi. PDP Law menuntut bahwa setiap sistem yang memproses data pribadi harus menggunakan perangkat lunak yang aman.
File installer yang dimodifikasi dengan payload berbahaya dapat dengan mudah menyebar di komunitas developer Indonesia. Penggunaan Notepad++ versi lama dengan kerentanan yang sudah diketahui dapat menjadi celah keamanan yang dieksploitasi oleh pelaku kejahatan siber.
REKOMENDASI MITIGASI
1. Segera perbarui Notepad++ ke versi v8.9.7 atau yang lebih baru. 2. Hanya unduh Notepad++ dari sumber resmi (notepad-plus-plus.org). 3. Verifikasi checksum file installer sebelum melakukan instalasi. 4. Audit dan hapus file session.xml yang mencurigakan dari direktori instalasi. 5. Pertimbangkan untuk menonaktifkan fitur makro jika tidak diperlukan. 6. Implementasikan application whitelisting untuk mencegah eksekusi versi lama.
Analisa Retasan
Kombinasi tiga kerentanan kritis pada Notepad++ ini menunjukkan bahwa text editor — yang sering dianggap sebagai aplikasi sederhana — sebenarnya memiliki attack surface yang signifikan. CVE-2026-52886 (PowerShell command injection via session.xml) sangat menarik karena memanfaatkan fitur session persistence Notepad++ untuk menjalankan kode berbahaya tanpa interaksi eksplisit pengguna. Setiap kali Notepad++ dimulai, ia memuat session.xml, dan jika file ini dimanipulasi, PowerShell command akan dieksekusi secara otomatis.
CVE-2026-57233 (Zip Slip path traversal pada WinGUp updater) juga layak mendapat perhatian khusus. WinGUp merupakan komponen updater bawaan Notepad++ yang berjalan dengan hak akses pengguna. Path traversal pada updater berarti penyerang dapat menulis file ke lokasi arbitrer di filesystem — termasuk menimpa executable lain atau menanam backdoor di direktori startup. Pola serangan Zip Slip ini sebelumnya juga ditemukan pada berbagai Java library dan npm packages.
Untuk konteks Indonesia, kerentanan pada Notepad++ menjadi pengingat bahwa patch management harus mencakup seluruh aplikasi yang digunakan di organisasi — bukan hanya operating system dan suite office utama. BSSN dan komunitas keamanan siber Indonesia perlu mempromosikan kesadaran bahwa setiap perangkat lunak memerlukan pembaruan keamanan secara berkala. Dengan adanya PDP Law, organisasi Indonesia tidak lagi bisa mengabaikan kerentanan pada aplikasi yang dianggap sepele.
Sumber: The Cyber Express — Critical Notepad++ Bugs Could Lead to Code Execution, Patch Available

