CVE-2025-56383｜Notepad++ DLL劫持漏洞（POC）

0x00 前言

Notepad++是一款轻量级、开源的代码及文本编辑器，专为Windows系统设计，以高效、灵活著称。它支持语法高亮、代码折叠、多标签页编辑等核心功能，涵盖80多种编程语言（如 Python、Java、HTML），并可通过插件扩展功能（如宏录制、版本控制集成）。其特色包括正则表达式搜索、列编辑模式、自动换行和编码转换（如 UTF-8 无 BOM），尤其适合开发者快速处理代码或日志文件。

0x01 漏洞描述

该漏洞使攻击者能够通过替换Notepad++的合法插件文件，实现恶意代码的持久化执行。

攻击者可将恶意DLL（如NppExport.dll）覆盖原始插件文件，同时将原文件重命名（如改为original-NppExport.dll）以保留功能。

伪造的DLL会代理合法调用，确保程序正常运行，同时执行后台恶意代码。这种隐蔽攻击可能导致权限提升、持久化驻留或恶意软件扩散等安全风险。

0x02 CVE编号

CVE-2025-56383

0x03 影响版本

Notepad++ <= 8.8.3

0x04 漏洞详情

POC：

https://github.com/zer0t0/CVE-2025-56383-Proof-of-Concept

0x05 参考链接

https://github.com/notepad-plus-plus/notepad-plus-plus

https://nvd.nist.gov/vuln/detail/CVE-2025-56383