Trusted DesignCVE-2025-15556 の詳細
CVEの情報
説明:
Notepad++ versions prior to 8.8.9, when using the WinGUp updater, contain an update integrity verification vulnerability where downloaded update metadata and installers are not cryptographically verified. An attacker able to intercept or redirect update traffic can cause the updater to download and execute an attacker-controlled installer, resulting in arbitrary code execution with the privileges of the user.
CVE更新日: 2026-02-03 01:15:57.757000
CVSSバージョン: 4.0
CVSSスコア: 7.7
KEVの情報
KEV更新日: 2026-02-12
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.026930000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-15556 は Notepad++ の WinGUp アップデーターに存在する更新整合性検証の欠如により、攻撃者がアップデートを乗っ取り任意コード実行(RCE)を行える脆弱性。CISA は KEV に追加しており、実際の攻撃(Chrysalis バックドア配布)が確認されている。 【1. 脆弱性の概要】 - WinGUp が更新メタデータ・インストーラの署名検証を行わない。 - 攻撃者がアップデート通信を改ざんすると、任意のインストーラを実行可能。 - APT(Lotus Blossom)が公式アップデートサーバーを侵害した事例あり。 【2. 深刻度】 - CVSS 3.1:9.8(Critical) - CWE-494(ダウンロードコードの整合性検証欠如) - CISA KEV 登録(悪用確認済み) 【3. 対象バージョン】 - Notepad++ 8.8.9 未満(WinGUp 使用バージョン) 【4. 影響】 - 任意コード実行(RCE) - 正規アップデートが攻撃者のマルウェアに置き換わる - 開発者・管理者端末が侵害されるリスク 【5. 兆候】 - 公開 IOC はなし - Chrysalis バックドアが偽アップデートとして配布された事例あり 【6. 推奨対策】 - Notepad++ を 8.8.9 以降へ更新 - 自動更新を安全なチャネルに限定 - 企業環境では WSUS / Intune / SCCM で更新管理