Notepad++ 8.9.7が、2026年7月14日に公開されました。
Notepad++公式のリリース情報によると、今回の更新では5件の脆弱性が修正されています。
公開時点でCVE番号が割り当てられているのは、CVE-2026-54758、CVE-2026-52886、CVE-2026-57233の3件です。残る2件は、公式情報ではCVE未割り当てとして案内されています。
この記事では、Notepad++ 8.9.7で修正された問題の概要、現在のバージョン確認、公式アップデート、更新後に確認したい項目を整理します。
最初にNotepad++のバージョンを確認する
Notepad++を利用している場合は、最初に現在のバージョンを確認します。
- Notepad++を起動する
- 画面上部の「?」メニューを開く
- 「About」または「Debug Info」を開く
- 表示されたバージョン番号を確認する
バージョンが8.9.7未満の場合は、公式アップデートを確認してください。
会社や学校などの管理対象PCでは、自分で更新せず、システム管理者や情報システム担当者へ確認します。
Notepad++ 8.9.7で修正された5件の脆弱性
Notepad++ 8.9.7では、設定ファイル、セッション情報、アップデーター、インストーラーなどに関係する5件の脆弱性が修正されています。
| 識別番号 | 主な対象 | 確認ポイント |
|---|---|---|
| CVE-2026-54758 | expandNppEnvironmentStrs | 長い変数名の処理によるバッファーオーバーフロー |
| CVE-2026-52886 | session.xml | セッション復元時のファイルパス検証 |
| CVE-2026-57233 | WinGUp | プラグイン展開時のパストラバーサル |
| CVE未割り当て | shortcuts.xml | マクロに対するHMAC検証の回避 |
| CVE未割り当て | インストーラー | PowerShellを使う処理とインストール先パス |
5件すべてが同じ条件で悪用できるわけではありません。設定ファイルを変更できること、細工されたプラグインパッケージを処理すること、特定のインストール条件など、問題ごとに前提条件が異なります。
CVE-2026-54758
CVE-2026-54758は、Notepad++内の変数名を展開する処理に関係するスタックベースのバッファーオーバーフローです。
公式のセキュリティ情報では、主な影響としてNotepad++が異常終了し、保存していない作業内容が失われる可能性が説明されています。
不具合を再現する文字列や操作方法を試す必要はありません。8.9.7への更新で対処します。
CVE-2026-52886
CVE-2026-52886は、Notepad++がセッションを復元する時に使用するsession.xmlのファイルパス確認に関係する問題です。
第三者がsession.xmlを変更できる環境では、バックアップフォルダー外のファイルが意図せずNotepad++へ読み込まれる可能性があります。
特にポータブル版や、複数人が書き込み可能なフォルダーへ配置している場合は、Notepad++本体だけでなく、設定ファイルの保存場所とアクセス権も確認します。
CVE-2026-57233
CVE-2026-57233は、Notepad++のアップデーターであるWinGUpがプラグインパッケージを展開する処理に関係するパストラバーサル、いわゆるZip Slipの問題です。
細工されたプラグインパッケージが処理された場合、想定したプラグインフォルダーとは別の場所へファイルが書き込まれる可能性があります。
プラグインはPlugins Adminなどの公式機能や、開発元を確認できる配布元から導入し、出所不明のZIPファイルやDLLを手動で追加しないようにします。
CVE未割り当ての2件
公開時点では、残る2件にCVE番号は割り当てられていません。
- shortcuts.xmlのマクロに対するHMAC検証を回避できる問題
- 特定のインストール先パスを使用した時のPowerShell処理に関する問題
これらは特定の設定や操作条件が必要な問題です。CVE番号がないから影響がないという意味ではないため、Notepad++ 8.9.7へ更新しておくことが基本的な対策になります。
すべてが未認証の遠隔攻撃ではない
今回修正された問題には、ローカルの設定ファイルを変更できること、利用者が細工されたファイルやパッケージを処理すること、特定のインストール条件などが必要なものがあります。
Notepad++を起動しただけで、すべての環境が直ちに攻撃されるという情報ではありません。
一方で、設定ファイル、プラグイン、アップデーターは日常的に使用する機能です。古いバージョンを使い続けず、公式最新版へ更新しておくことが重要です。
Notepad++を8.9.7へ更新する方法
通常のインストーラー版では、Notepad++内から更新を確認できます。
- 編集中のファイルを保存する
- Notepad++上部の「?」メニューを開く
- 「Update Notepad++」を選ぶ
- 更新が表示された場合は内容を確認する
- Notepad++を終了してアップデートを実行する
- 更新後にNotepad++を再起動する
- 「About」または「Debug Info」で8.9.7になっていることを確認する

自動更新が無効になっている場合や、アップデーターに最新版が表示されない場合は、Notepad++公式サイトまたは公式GitHub Releasesから更新します。
検索広告や非公式ダウンロードサイトに表示された「Notepad++更新」ボタンは使わず、公式の配布元を直接確認してください。
更新前に設定とプラグインを確認する
通常のアップグレードでは、Notepad++のインストーラーは利用者が変更した設定ファイルを上書きしないように設計されています。
ただし、業務で利用している場合や、多数のプラグイン・マクロ・独自設定を使っている場合は、更新前に次の項目を確認します。
- 編集中のファイルをすべて保存したか
- 設定ファイルの保存場所を確認したか
- ポータブル版かインストーラー版か
- 使用中のプラグインを一覧化したか
- 独自のshortcuts.xmlやマクロを利用していないか
- セッション復元とスナップショット機能を使っているか
- 管理者権限で常時起動していないか
- 更新後にプラグインが正常に動作するか
Notepad++を常に管理者権限で起動する必要がない場合は、通常のユーザー権限で使用する運用も確認してください。
ポータブル版を使っている場合
ポータブル版は、インストーラー版とは更新方法や設定ファイルの保存場所が異なる場合があります。
- 現在使用しているNotepad++を完全に終了する
- ポータブル版のフォルダーをバックアップする
- 公式配布の8.9.7ポータブル版を取得する
- 設定ファイルとプラグインの移行範囲を確認する
- 古い実行ファイルを起動していないか確認する
新旧のNotepad++を同時に起動すると、既に起動中の古いバージョンへ切り替わり、更新後のバージョンを確認できないことがあります。更新確認時はすべてのNotepad++を終了してください。
更新できない場合に確認すること
- 自動アップデーターが無効になっていないか
- 社内プロキシやファイアウォールで通信が制限されていないか
- 管理者権限が必要なインストール先ではないか
- 32bit、64bit、ARM64の種類が合っているか
- 会社のソフトウェア配布ツールで管理されていないか
- Notepad++やプラグインを使用中のプロセスが残っていないか
管理対象PCでは、独自に公式インストーラーを実行すると管理者側の配布設定と競合することがあります。更新できない場合は、情報システム担当者へ確認してください。
今回確認した公式情報
- Notepad++ release 8.9.7
- Notepad++ v8.9.7公式リリース情報
- Notepad++ v8.9.7 vulnerability fixes
- CVE-2026-54758
- CVE-2026-52886
- CVE-2026-57233
- Notepad++ User Manual:Upgrading
最新版、脆弱性情報、配布方法は変更される場合があります。公開後に新しいバージョンが提供された場合は、8.9.7に限定せず、Notepad++公式が案内する最新版を確認してください。
関連して確認したい記事
- WinRAR 7.23のセキュリティ更新で確認したいこと|ヒープオーバーフロー・シンボリックリンク・7z更新を整理
- 7-Zipに脆弱性情報が出た時の確認ポイント|CVE-2026-48095・対象バージョン・最新版更新を確認
- Adobe Acrobat / Readerの2026年6月セキュリティ更新で確認したいこと|21件の脆弱性とバージョン確認
まとめ:Notepad++ 8.9.7以降へ更新する
Notepad++ 8.9.7では、設定ファイル、セッション復元、プラグイン展開、マクロ、インストーラーに関係する5件の脆弱性が修正されました。
公開時点でCVE番号が確認できるのは、CVE-2026-54758、CVE-2026-52886、CVE-2026-57233の3件です。
Notepad++の「?」メニューから現在のバージョンを確認し、8.9.7未満の場合は公式アップデートを実施してください。
更新後はNotepad++を再起動し、バージョン、設定、プラグイン、セッション復元が正常に動作することを確認しましょう。