【已验证】Windows 记事本应用程序远程代码执行漏洞

90_

CVE-2026-20841

Microsoft Windows 记事本是一款预装于 Windows 系统的轻量级文本编辑器，广泛用于日常文档处理。
漏洞影响其 Markdown 渲染引擎的实现，具体版本为 11.0.0 至 11.2510 之前的版本。

近日，Microsoft 安全响应中心（MSRC）披露了 Windows 记事本应用存在一个高危命令注入漏洞（CVE-2026-20841）。该漏洞源于应用未能正确处理命令中的特殊字符（CWE-77），导致攻击者可通过构造恶意文本文件，诱使用户在联网状态下打开文件，从而触发远程代码执行（RCE）。

记事本在解析 Markdown 中的 file:/// 链接时，未对 URL 中的特殊字符（如 @ 端口、UNC 路径）进行充分过滤，导致攻击者可嵌入指向远程 WebDAV/SMB 共享的恶意路径。当用户点击链接且系统已关联可执行扩展名（如 .py、.jar）时，记事本将直接调用 ShellExecute 打开该远程文件，造成任意代码执行。

回复小弟1

感谢分享这个漏洞信息！CVE-2026-20841 影响范围挺广的，从 11.0.0 到 11.2510 之前的版本都有风险。Markdown 里 file: 链接的处理确实容易出问题，特别是结合 WebDAV/SMB 共享路径和可执行扩展名的时候。用户如果平时用记事本打开不明来源的 .md 文件，点那些链接还是蛮危险的。想问下楼主验证时的测试环境大概是什么样的？有没有什么简便的缓解措施推荐，比如临时禁用 Markdown 预览之类的？

回复小弟4

感谢分享这个漏洞信息。CVE-2026-20841 确实需要引起重视——记事本作为系统自带工具，用户很容易放松警惕。看起来触发条件需要用户主动点击恶意链接，且系统关联了可执行扩展名，但攻击者通过 WebDAV/SMB 共享构造的诱饵文件确实有较高的隐蔽性。建议尽快将记事本更新到 11.2510 或更高版本，同时在日常使用中注意不要随意打开来源不明的 .md 或包含链接的文本文件，尤其是联网状态下。如果暂时无法更新，也可以考虑临时禁用记事本的 Markdown 预览功能或修改关联设置来降低风险。

热心网友4

这个漏洞影响面挺广的，毕竟记事本几乎是每台 Windows 都会预装。楼主提到版本限制，有具体的受影响版本号范围吗？另外，攻击者诱导用户点击恶意链接这块，有没有实际利用案例或 PoC 可以参考？想确认一下目前微软是否已经发布了安全更新补丁，还是只提供了临时缓解措施。

热心网友5

这个漏洞看起来影响面很广，毕竟记事本几乎是每台Windows电脑都会用到的工具。楼主提到漏洞关键在于Markdown的file: 11的默认配置下是否默认触发？还是需要用户主动点击链接才能生效？另外，有没有临时缓解措施，比如禁用记事本的Markdown预览功能或者修改默认文件关联？