Notepad++ 8.9.7の5件の脆弱性で確認したいこと|CVE-2026-54758・52886・57233と更新方法を整理

Notepad++ 8.9.7で5件の脆弱性が修正され、バージョン確認、公式更新、再起動を行う流れを示す図解

Notepad++ 8.9.7が、2026年7月14日に公開されました。

Notepad++公式のリリース情報によると、今回の更新では5件の脆弱性が修正されています。

公開時点でCVE番号が割り当てられているのは、CVE-2026-54758、CVE-2026-52886、CVE-2026-57233の3件です。残る2件は、公式情報ではCVE未割り当てとして案内されています。

この記事では、Notepad++ 8.9.7で修正された問題の概要、現在のバージョン確認、公式アップデート、更新後に確認したい項目を整理します。

最初にNotepad++のバージョンを確認する

Notepad++を利用している場合は、最初に現在のバージョンを確認します。

  1. Notepad++を起動する
  2. 画面上部の「?」メニューを開く
  3. 「About」または「Debug Info」を開く
  4. 表示されたバージョン番号を確認する

バージョンが8.9.7未満の場合は、公式アップデートを確認してください。

会社や学校などの管理対象PCでは、自分で更新せず、システム管理者や情報システム担当者へ確認します。

Notepad++ 8.9.7で修正された5件の脆弱性

Notepad++ 8.9.7では、設定ファイル、セッション情報、アップデーター、インストーラーなどに関係する5件の脆弱性が修正されています。

識別番号主な対象確認ポイント
CVE-2026-54758expandNppEnvironmentStrs長い変数名の処理によるバッファーオーバーフロー
CVE-2026-52886session.xmlセッション復元時のファイルパス検証
CVE-2026-57233WinGUpプラグイン展開時のパストラバーサル
CVE未割り当てshortcuts.xmlマクロに対するHMAC検証の回避
CVE未割り当てインストーラーPowerShellを使う処理とインストール先パス

5件すべてが同じ条件で悪用できるわけではありません。設定ファイルを変更できること、細工されたプラグインパッケージを処理すること、特定のインストール条件など、問題ごとに前提条件が異なります。

CVE-2026-54758

CVE-2026-54758は、Notepad++内の変数名を展開する処理に関係するスタックベースのバッファーオーバーフローです。

公式のセキュリティ情報では、主な影響としてNotepad++が異常終了し、保存していない作業内容が失われる可能性が説明されています。

不具合を再現する文字列や操作方法を試す必要はありません。8.9.7への更新で対処します。

CVE-2026-52886

CVE-2026-52886は、Notepad++がセッションを復元する時に使用するsession.xmlのファイルパス確認に関係する問題です。

第三者がsession.xmlを変更できる環境では、バックアップフォルダー外のファイルが意図せずNotepad++へ読み込まれる可能性があります。

特にポータブル版や、複数人が書き込み可能なフォルダーへ配置している場合は、Notepad++本体だけでなく、設定ファイルの保存場所とアクセス権も確認します。

CVE-2026-57233

CVE-2026-57233は、Notepad++のアップデーターであるWinGUpがプラグインパッケージを展開する処理に関係するパストラバーサル、いわゆるZip Slipの問題です。

細工されたプラグインパッケージが処理された場合、想定したプラグインフォルダーとは別の場所へファイルが書き込まれる可能性があります。

プラグインはPlugins Adminなどの公式機能や、開発元を確認できる配布元から導入し、出所不明のZIPファイルやDLLを手動で追加しないようにします。

CVE未割り当ての2件

公開時点では、残る2件にCVE番号は割り当てられていません。

  • shortcuts.xmlのマクロに対するHMAC検証を回避できる問題
  • 特定のインストール先パスを使用した時のPowerShell処理に関する問題

これらは特定の設定や操作条件が必要な問題です。CVE番号がないから影響がないという意味ではないため、Notepad++ 8.9.7へ更新しておくことが基本的な対策になります。

すべてが未認証の遠隔攻撃ではない

今回修正された問題には、ローカルの設定ファイルを変更できること、利用者が細工されたファイルやパッケージを処理すること、特定のインストール条件などが必要なものがあります。

Notepad++を起動しただけで、すべての環境が直ちに攻撃されるという情報ではありません。

一方で、設定ファイル、プラグイン、アップデーターは日常的に使用する機能です。古いバージョンを使い続けず、公式最新版へ更新しておくことが重要です。

Notepad++を8.9.7へ更新する方法

通常のインストーラー版では、Notepad++内から更新を確認できます。

  1. 編集中のファイルを保存する
  2. Notepad++上部の「?」メニューを開く
  3. 「Update Notepad++」を選ぶ
  4. 更新が表示された場合は内容を確認する
  5. Notepad++を終了してアップデートを実行する
  6. 更新後にNotepad++を再起動する
  7. 「About」または「Debug Info」で8.9.7になっていることを確認する
Notepad++の現在のバージョンを確認し、公式アップデート後に再起動して8.9.7以降になったことを確認する3ステップ
現在のバージョンを確認し、公式アップデートを実行した後、再起動して8.9.7以降になったことを確認します。

自動更新が無効になっている場合や、アップデーターに最新版が表示されない場合は、Notepad++公式サイトまたは公式GitHub Releasesから更新します。

検索広告や非公式ダウンロードサイトに表示された「Notepad++更新」ボタンは使わず、公式の配布元を直接確認してください。

更新前に設定とプラグインを確認する

通常のアップグレードでは、Notepad++のインストーラーは利用者が変更した設定ファイルを上書きしないように設計されています。

ただし、業務で利用している場合や、多数のプラグイン・マクロ・独自設定を使っている場合は、更新前に次の項目を確認します。

  • 編集中のファイルをすべて保存したか
  • 設定ファイルの保存場所を確認したか
  • ポータブル版かインストーラー版か
  • 使用中のプラグインを一覧化したか
  • 独自のshortcuts.xmlやマクロを利用していないか
  • セッション復元とスナップショット機能を使っているか
  • 管理者権限で常時起動していないか
  • 更新後にプラグインが正常に動作するか

Notepad++を常に管理者権限で起動する必要がない場合は、通常のユーザー権限で使用する運用も確認してください。

ポータブル版を使っている場合

ポータブル版は、インストーラー版とは更新方法や設定ファイルの保存場所が異なる場合があります。

  • 現在使用しているNotepad++を完全に終了する
  • ポータブル版のフォルダーをバックアップする
  • 公式配布の8.9.7ポータブル版を取得する
  • 設定ファイルとプラグインの移行範囲を確認する
  • 古い実行ファイルを起動していないか確認する

新旧のNotepad++を同時に起動すると、既に起動中の古いバージョンへ切り替わり、更新後のバージョンを確認できないことがあります。更新確認時はすべてのNotepad++を終了してください。

更新できない場合に確認すること

  • 自動アップデーターが無効になっていないか
  • 社内プロキシやファイアウォールで通信が制限されていないか
  • 管理者権限が必要なインストール先ではないか
  • 32bit、64bit、ARM64の種類が合っているか
  • 会社のソフトウェア配布ツールで管理されていないか
  • Notepad++やプラグインを使用中のプロセスが残っていないか

管理対象PCでは、独自に公式インストーラーを実行すると管理者側の配布設定と競合することがあります。更新できない場合は、情報システム担当者へ確認してください。

今回確認した公式情報

最新版、脆弱性情報、配布方法は変更される場合があります。公開後に新しいバージョンが提供された場合は、8.9.7に限定せず、Notepad++公式が案内する最新版を確認してください。

関連して確認したい記事

まとめ:Notepad++ 8.9.7以降へ更新する

Notepad++ 8.9.7では、設定ファイル、セッション復元、プラグイン展開、マクロ、インストーラーに関係する5件の脆弱性が修正されました。

公開時点でCVE番号が確認できるのは、CVE-2026-54758、CVE-2026-52886、CVE-2026-57233の3件です。

Notepad++の「?」メニューから現在のバージョンを確認し、8.9.7未満の場合は公式アップデートを実施してください。

更新後はNotepad++を再起動し、バージョン、設定、プラグイン、セッション復元が正常に動作することを確認しましょう。

Windows11 関連の相談先・運営者情報

Windows11 の不具合対処や更新情報に関する記事を読んだ方向けに、運営者情報と相談先を整理しています。連絡は X を基本窓口とし、内容確認後に対応可否をご案内します。

Xでご依頼・ご相談 ホームを見る

Windowsの不具合対処や更新情報は、確認できた範囲で随時整理しています。内容により個別対応できない場合があります。