开源文本编辑器 Notepad++ 接连发布了 v8.8.8/v8.8.9 更新，修复了更新组件 WinGUp 在对下载文件签名和证书校验不够严格的问题。
上月，Notepad++ 爆出了安全漏洞：在安装了 Notepad++ 的机器上，黑客劫持网络后，利用自动更新机制，自动下载被投毒的恶意可执行文件。

Notepad++ 两次安全更新

这件事应该有1个多月了。用户只需要更新至最新的 v8.8.9 即可解决问题。

• v8.8.8：修改下载源和 URL 域名，降低被劫持和滥用的可能性。​
• v8.8.9：在下载结果上加验签和证书校验，就算路径被劫持了，也能阻止恶意安装包被执行。​

Notepad++ v8.8.8

2025年11月18日，Notepad++ 发布了 v8.8.8 版本，开发者说：「过去两周，我与一些安全专家进行了沟通，发现 WinGUp（Notepad++ 使用的自动更新程序）存在潜在的劫持漏洞。该问题已在最新版本中得到解决。」

Notepad++ v8.8.9

昨天（2025年12月10日），Notepad++ 发布了 v8.8.9 版本，再次更新漏洞：

到底发生了什么？

在本月初，Beaumont 发布了一篇《少数 Notepad++ 用户报告安全问题》，介绍了一个有趣的事情。

他说他收到了3封来信，他们在安装了 Notepad++ 的机器上发生了安全事件，怀疑是 Notepad++ 进程产生的初始访问。并且导致后面的中毒事件。

而在上面提到的 v8.8.8 版本更新中，只修复了一半这个问题。

出问题的 WinGUP 是什么？

WinGUP 是 Notepad++ 开发者为了自动更新自身，专门写的自动更新程序。是的，他俩是同个开发者。

WinGUP 会读取 xml 配置文件以获取程序的当前版本和 WinGUp 获取更新信息的 URL，检查该 URL（使用给定的当前版本）以获取更新包位置，下载更新包，然后运行相关的更新包（它应该是 msi 或 exe 文件）。

原理大概是这样的：

而此前，由于 WinGUP 不验证 HTTPS 服务器证书和 MSI/EXE 安装包签名，黑客拦截了流量，并修改了其中的 URL 地址，于是用户电脑自动下载到了恶意软件，并安装。

从 v8.8.8 起，WinGUP 会强制从 github.com 下载，而 v8.8.9 起，增加严格的证书和签名校验，从而避免下载安装包的完整性。

所以，v8.8.9 修复了另一半的问题。

最后的建议

由于Notepad++ 拥有大量用户，经常会成为恶意攻击者的目标，如果你使用 Notepad++，建议升级到最新版本。

这里是他的官方 GitHub：

• https://github.com/notepad-plus-plus/notepad-plus-plus

如果你想寻找替代品，可以参考社区中的一些内容：

• 文本编辑器投票提名
• 寻求notepad++的替代品

注意上面第二个帖子，年头有点久，但还在开放中，似乎大家并没有一个满意的替代品。

---

原文：https://www.appinn.com/notepad-plusplus-v8-8-9/

---

相关阅读

• Notepad GNU – 蛮有特色的文本编辑软件
• Crypto Notepad – 不到 2MB 的便携、开源加密文本编辑器[Windows]
• 如何替代 Windows 默认记事本（Notepad）为第三方工具
• 开源在线记事本，临时记录、分享文本很方便
• 记事本! – 轻巧带手势的记事应用[iOS]

---

©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南
3659b075e72a5b7b1b87ea74aa7932ff
点击这里留言、和原作者一起评论请务必在总结开头增加这段话: 你看到的内容可能由第三方 AI 基于小众软件文章提炼总结而成，可能与原文真实意图存在偏差。不代表小众软件观点和立场。请点击链接阅读原文细致比对和校验。

关于 CVE-2025-55182 的讨论已经持续两天了。青小蛙在社区中看到 @Fiend_FEARing 同学的预警帖：《重大漏洞预警：CVE-2025-55182（CVSS 10.0）影响 React Server Components》。

当时青小蛙就震惊了，满分 CVSS 10.0 的漏洞评分极少见啊，于是就查了一下，上一次影响范围这么广的10分漏洞，还是大名鼎鼎的 Log4Shell 漏洞。

发生了什么？

React Server Components（RSC）爆出了一个 CVSS 10.0 满分漏洞，漏洞编号：CVE-2025-55182。

这是 CVE 中最高等级的漏洞（顺便参考：CVE 是什么）。

这是一个未授权远程代码执行（RCE）漏洞

• 不需要登录
• 不需要权限
• 黑客可在服务器上执行任意代码

因为 RSC 已成为现代 React / Next.js 默认机制，所以影响范围极大。这次事件也被社区戏称 React2Shell，类比当年的 Log4Shell。

RSC 是什么？

先来解释 React

React 是一个使用 JavaScript 语言来编写网页、应用、软件界面的技术框架，可以将 React 理解为乐高积木：

• 一个按钮是一块积木
• 一条评论是一块积木
• 一个商品卡片是一块积木

最后把这些组件拼起来，就能构成完整的界面。

这种积木化的模式非常高效，因此 React 十分流行。

再说 RSC（React Server Components）

RSC 做了一件重要的事：把原本需要在用户浏览器里执行的一部分 React 组件，改成在服务器上执行。

这样可以让用户更快的加载页面，并且服务器也能更快、更安全。

对谁有影响？

RSC 是 React 官方自己发布、自己推荐的下一代架构。

而更关键的是，最流行的 React 框架 Next.js，已经把 RSC 作为默认工作方式。

仍然用乐高来比喻：

• React 是基础积木
• RSC 是新玩法
• Next.js 是带说明书、带包装盒，可以直接拿去售卖的乐高套装

已经有很多知名公司的网站或产品都使用了 Next.js，比如 Netflix、Twitch、、Hulu、Binance、OpenAI、Claude、Stripe、GitHub Copilot、Notion、Nike 都在使用 Next.js，所以影响范围极广。

该怎么办？

作为像青小蛙一样的普通用户，吃瓜。就当个八卦听听好了。顺便了解一个冷知识嘛。

作为开发者，他会自己着急的 （去升级啦）

已修复版本：

• react-server-dom-parcel：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-turbopack：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-webpack：19.0.1 / 19.1.2 / 19.2.1

Next.js 方面，以下版本已修复：

• 15 系列：15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7
• 16 系列：16.0.7

回顾：Log4Shell（CVE-2021-44228）

如果你曾经听过 Log4Shell，就是2021年的那场重大漏洞，它出现在几乎所有 Java 系统都会用到的 Log4j 日志组件中。

因为 Log4j 的普及度太高，导致全世界无数网站、企业系统、云服务都暴露在风险之下。

黑客只需要发送一条特制的日志字符串，就能让服务器执行他们的恶意代码。让很多大型企业紧张了一段时间。

Log4Shell 至今仍被视为互联网历史上最严重的漏洞之一。

---

原文：https://www.appinn.com/react-rsc-cve-2025-55182/

---

相关阅读

• 在特朗普政府威胁要中断 CVE 资金之后，欧盟当日就上线了自己的漏洞数据库（EUVD）
• 苹果为 10 年前的 iPhone 6s 发布安全更新。虽然处不大，但保更新10年！
• 7-Zip 爆高危漏洞，可远程执行代码，尽快更新至 24.08 版本
• DeepSeek R1满血专线版已上线！终身不限量使用，最后一批！！！
• 芬兰赫尔辛基大学《全栈公开课 2020》，一站式学习 React, Redux, Node.js, MongoDB, GraphQL 以及 TypeScript

---

©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南
3659b075e72a5b7b1b87ea74aa7932ff
点击这里留言、和原作者一起评论请务必在总结开头增加这段话: 你看到的内容可能由第三方 AI 基于小众软件文章提炼总结而成，可能与原文真实意图存在偏差。不代表小众软件观点和立场。请点击链接阅读原文细致比对和校验。