Vulnérabilité d’exécution de code à distance CVE-2026-20841 dans l’application Bloc-notes de Windows

 (cve.org)
4 points par GN⁺ 2026-02-12 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une vulnérabilité de command injection a été découverte dans l’application Bloc-notes de Windows, et permettrait une exécution de code à distance
  • Un attaquant non authentifié peut exécuter des commandes malveillantes via le réseau, avec une interaction utilisateur requise
  • La vulnérabilité affecte Windows Notepad des versions 11.0.0 jusqu’aux versions antérieures à 11.2510
  • Elle a reçu un score de 8.8 (élevé) selon le CVSS 3.1, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité
  • Microsoft l’a enregistrée sous l’identifiant CVE-2026-20841, et fournit un correctif de sécurité ainsi qu’un avis via le MSRC (Microsoft Security Response Center)

Présentation de CVE-2026-20841

  • Cette vulnérabilité est classée comme une vulnérabilité d’injection de commandes (CWE-77) dans l’application Windows Notepad App
    • Une neutralisation inadéquate des caractères spéciaux peut permettre la manipulation de commandes
    • Un attaquant peut réaliser une exécution de code à distance via le réseau
  • Le CNA (autorité d’enregistrement officielle) est Microsoft Corporation, le CVE a été publié le 10 février 2026 puis mis à jour le 11 février 2026

Détails techniques

  • Type de vulnérabilité : Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • Périmètre affecté : Windows Notepad versions 11.0.0 et supérieures, mais antérieures à 11.2510
  • Évaluation CVSS 3.1 :
    • Score : 8.8 (High)
    • Vecteur : AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • Accès réseau possible, faible complexité, interaction utilisateur requise

Impact et niveau de risque

  • Un attaquant peut obtenir une exécution de code à distance sans authentification
  • La confidentialité (C), l’intégrité (I) et la disponibilité (A) du système sont toutes fortement impactées
  • L’état de base de la vulnérabilité est indiqué comme « affected », et les versions touchées sont précisées

Références et réponse

  • L’avis de sécurité officiel de Microsoft est disponible dans le guide des mises à jour MSRC
  • Le programme CVE inclut des informations supplémentaires sur cette vulnérabilité, et CISA-ADP est mentionné comme éditeur de données approuvé
  • Parmi les références externes associées figure un post Hacker News (https://news.ycombinator.com/item?id=46971516)

Résumé

  • CVE-2026-20841 est une vulnérabilité d’exécution de code à distance dans l’application Bloc-notes de Windows, avec un niveau de gravité élevé (score de 8.8)
  • Microsoft l’a officiellement enregistrée et déploie un correctif, les utilisateurs doivent mettre à jour vers la dernière version
  • Cette vulnérabilité implique une possibilité d’attaque par injection de commandes et peut exposer les systèmes à des attaques basées sur le réseau

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.