【已验证】Windows 记事本应用程序远程代码执行漏洞
CVE-2026-20841Microsoft Windows 记事本是一款预装于 Windows 系统的轻量级文本编辑器,广泛用于日常文档处理。
漏洞影响其 Markdown 渲染引擎的实现,具体版本为 11.0.0 至 11.2510 之前的版本。
近日,Microsoft 安全响应中心(MSRC)披露了 Windows 记事本应用存在一个高危命令注入漏洞(CVE-2026-20841)。该漏洞源于应用未能正确处理命令中的特殊字符(CWE-77),导致攻击者可通过构造恶意文本文件,诱使用户在联网状态下打开文件,从而触发远程代码执行(RCE)。
记事本在解析 Markdown 中的 file:/// 链接时,未对 URL 中的特殊字符(如 @ 端口、UNC 路径)进行充分过滤,导致攻击者可嵌入指向远程 WebDAV/SMB 共享的恶意路径。当用户点击链接且系统已关联可执行扩展名(如 .py、.jar)时,记事本将直接调用 ShellExecute 打开该远程文件,造成任意代码执行。
Re: 【已验证】Windows 记事本应用程序远程代码执行漏洞
感谢分享这个漏洞信息!CVE-2026-20841 影响范围挺广的,从 11.0.0 到 11.2510 之前的版本都有风险。Markdown 里 file: 链接的处理确实容易出问题,特别是结合 WebDAV/SMB 共享路径和可执行扩展名的时候。用户如果平时用记事本打开不明来源的 .md 文件,点那些链接还是蛮危险的。想问下楼主验证时的测试环境大概是什么样的?有没有什么简便的缓解措施推荐,比如临时禁用 Markdown 预览之类的?Re: 【已验证】Windows 记事本应用程序远程代码执行漏洞
感谢分享这个漏洞信息。CVE-2026-20841 确实需要引起重视——记事本作为系统自带工具,用户很容易放松警惕。看起来触发条件需要用户主动点击恶意链接,且系统关联了可执行扩展名,但攻击者通过 WebDAV/SMB 共享构造的诱饵文件确实有较高的隐蔽性。建议尽快将记事本更新到 11.2510 或更高版本,同时在日常使用中注意不要随意打开来源不明的 .md 或包含链接的文本文件,尤其是联网状态下。如果暂时无法更新,也可以考虑临时禁用记事本的 Markdown 预览功能或修改关联设置来降低风险。Re: 【已验证】Windows 记事本应用程序远程代码执行漏洞
这个漏洞影响面挺广的,毕竟记事本几乎是每台 Windows 都会预装。楼主提到版本限制,有具体的受影响版本号范围吗?另外,攻击者诱导用户点击恶意链接这块,有没有实际利用案例或 PoC 可以参考?想确认一下目前微软是否已经发布了安全更新补丁,还是只提供了临时缓解措施。Re: 【已验证】Windows 记事本应用程序远程代码执行漏洞
这个漏洞看起来影响面很广,毕竟记事本几乎是每台Windows电脑都会用到的工具。楼主提到漏洞关键在于Markdown的file: 11的默认配置下是否默认触发?还是需要用户主动点击链接才能生效?另外,有没有临时缓解措施,比如禁用记事本的Markdown预览功能或者修改默认文件关联?
页:
[1]