Vulnerabilidad de ejecución remota de código CVE-2026-20841 en la app Bloc de notas de Windows

 (cve.org)
4 puntos por GN⁺ 2026-02-12 | 7 comentarios | Compartir por WhatsApp
  • Se descubrió una vulnerabilidad de inyección de comandos (command injection) en la app Bloc de notas de Windows, y se reporta que permite la ejecución remota de código
  • Un atacante no autenticado puede ejecutar comandos maliciosos a través de la red, aunque se requiere interacción del usuario
  • La vulnerabilidad afecta a Windows Notepad desde la versión 11.0.0 hasta antes de la 11.2510
  • Fue evaluada con una puntuación CVSS 3.1 de 8.8 (alta), con un alto impacto en confidencialidad, integridad y disponibilidad
  • Microsoft la registró como CVE-2026-20841, y el parche de seguridad junto con el aviso correspondiente están disponibles a través de MSRC (Microsoft Security Response Center)

Resumen de CVE-2026-20841

  • Esta vulnerabilidad se clasifica como una vulnerabilidad de inyección de comandos (CWE-77) en la app Windows Notepad
    • Los comandos pueden ser manipulados debido a una neutralización inadecuada de caracteres especiales
    • Un atacante puede realizar ejecución remota de código a través de la red
  • La CNA (autoridad oficial de registro) es Microsoft Corporation; el CVE se publicó el 10 de febrero de 2026 y se actualizó el 11 de febrero

Detalles técnicos

  • Tipo de vulnerabilidad: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
  • Alcance afectado: versiones de Windows Notepad 11.0.0 o superiores y anteriores a 11.2510
  • Evaluación CVSS 3.1:
    • Puntuación: 8.8 (High)
    • Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
    • Acceso por red, baja complejidad y requiere interacción del usuario

Impacto y nivel de riesgo

  • Un atacante puede lograr ejecución remota de código sin autenticación
  • La confidencialidad (C), integridad (I) y disponibilidad (A) del sistema se ven afectadas en un nivel alto
  • El estado base de la vulnerabilidad aparece como “affected”, y las versiones impactadas están especificadas

Referencias y respuesta

Resumen

  • CVE-2026-20841 es una vulnerabilidad de ejecución remota de código en la app Bloc de notas de Windows, un problema de seguridad de alta severidad (8.8 puntos)
  • Microsoft ya la registró oficialmente y está aplicando el parche; los usuarios deben actualizar a la versión más reciente
  • Esta vulnerabilidad implica la posibilidad de ataques mediante inyección de comandos y puede quedar expuesta a ataques basados en red

Lecturas relacionadas

7 comentarios

 
jwh926 2026-02-12

microslop.
 
mammal 2026-02-12

Por favor, estaría bueno que en partes tan fundamentales como el SO y el navegador solo ofrecieran lo básico, sin toda esa basura de nube / IA / integraciones.

Las funciones del proveedor bien podrían ofrecerse como una capa encima, y sería más que suficiente...
 
GN⁺ 2026-02-12
Comentarios de Hacker News

  • Si ves el reporte anual de accionistas de 2025, Windows está en 5.º lugar como fuente de ingresos, incluso por debajo de LinkedIn
    Ya parece que a Microsoft no le importan ni Windows ni Notepad

    • Windows es como su caballo de Troya
    • En el reporte, los ingresos están divididos en tres categorías — “Productivity and Business Processes”, “Intelligent Cloud”, “More Personal Computing” — y Windows solo es parte del tercer grupo. Así que me pregunto cómo concluyeron que está en 5.º lugar
    • Microsoft pronto será Windows en sí mismo. Office tiene muchos sustitutos, no tienen modelos de IA, Github es inestable, Azure es pésimo y Xbox fracasó. Si Windows muere, todo lo que está montado encima desaparecerá con él

  • El punto clave del problema es el manejo de enlaces
    Según CVE-2026-20841, si un atacante logra que alguien haga clic en un enlace malicioso dentro de un archivo Markdown, Notepad puede ejecutar un protocolo no verificado y cargar un archivo remoto

    • Que Notepad procese enlaces da la sensación de que un lápiz tenga una vulnerabilidad de carga de tinta. Es como si el viejo chiste de “si Microsoft fabricara autos” se hubiera vuelto realidad (enlace relacionado)
    • No sé si esto realmente sea un problema tan grande. ¿No es algo que también puede pasar en cualquier app que renderiza enlaces clicables —navegadores, clientes de correo, etc.—?
    • Me pregunto qué significa “unverified protocols”. ¿Windows tiene un esquema URL como exe:// para lanzar ejecutables directamente?

  • Hace tiempo busqué el Notepad de Windows 98 y lo ejecuté en Windows 11; funciona perfectamente. Permite escribir texto, guardar y cargar. ¿Qué más se puede pedir? Además, la fuente da nostalgia

    • El Notepad de Win9x solo puede abrir hasta 64 KB y solo soporta codificación ANSI. Versiones posteriores trajeron mejoras útiles como soporte para LF, pero todas las funciones extra de Windows 11 son sobrecarga innecesaria
    • Yo extraje notepad.exe, calc.exe y mspaint.exe de Windows 7 y los uso en Windows 11. Funcionan perfecto
    • La razón por la que la ventana “About Notepad” muestra la versión de Windows 11 es que el programa llama a la API de Windows para mostrar la versión del sistema
    • En realidad, el viejo notepad.exe todavía sigue en Windows 11. Solo que al ejecutarlo te redirige a la app nueva. Si desactivas “App execution aliases” en la configuración, puedes usar el Notepad antiguo tal cual
    • Me pregunto cómo usarían con esa versión el Notepad Copilot para Copilot 365

  • Hace unos días Notepad++ fue comprometido por un actor estatal, y hoy salió un CVE para el Notepad integrado de Windows. Ya dan ganas de borrar Windows por completo. No tiene sandboxing y es una montaña de código legado

    • Técnicamente Unix también está lleno de legado, pero Windows es simplemente un basurero gigante
    • Lo de Notepad++ fue que un grupo atacante de origen chino comprometió al proveedor de hosting. La verificación de actualizaciones ya mejoró y también hay alternativas como scoop. El ataque fue muy limitado y los IOC ya fueron publicados
    • La intrusión real no ocurrió hace unos días sino hace varios meses, y duró varias semanas
    • Yo uso gvim en Windows como reemplazo de Notepad. Es suficiente incluso sin plugins
    • Ya solo falta un RCE en el ícono del mouse. Ese sería el verdadero clímax

  • Ya llegamos al desenlace lógico del pipeline exceso de funciones → vulnerabilidades
    Durante 30 años, Notepad fue el estándar de un visor de texto simple, y ahora recibe una puntuación CVSS de 8.8: eso es el colapso del principio de mínimo privilegio. La pregunta no debería ser “¿podemos añadir esta función?”, sino “¿este editor de texto necesita una pila de renderizado de red?”

    • Y no se detuvieron ahí, también preguntaron “¿necesita IA?”, y dieron la respuesta equivocada
    • Claro, incluso antes Notepad tenía bugs absurdos como “Bush hid the facts”. En ese momento Unicode y la codificación eran problemas difíciles; ahora solo estamos peleando otra guerra
    • Estoy completamente de acuerdo. Un editor de texto con stack de red es un criadero de vulnerabilidades. Por eso hice yo mismo un editor de texto solo local en Rust. Sin permisos de red, almacenamiento cifrado y OpenSSL compatible con FIPS. Se puede ver en FIPSPad
    • Pero este bug no parece estar relacionado con una pila de renderizado de red ni con IA. Según MSRC, el problema es que un atacante puede lograr que alguien haga clic en un enlace dentro de un archivo Markdown para ejecutar un archivo remoto. Por ejemplo, hacer clic en algo como \\evil.example\virus.exe
    • La cuestión es que ni siquiera está claro si Microsoft se dio cuenta de que agregó una pila de renderizado de red

  • Lo gracioso es que los navegadores ya introdujeron hace mucho tiempo advertencias al usuario antes de ejecutar protocolos, pero Microsoft se saltó eso por completo al añadir enlaces clicables a Notepad. No es solo un problema de exceso de funciones, sino de reinventar un problema ya resuelto y olvidar las protecciones

  • Me sorprendió leer “si haces clic en un enlace malicioso dentro de un archivo Markdown, se ejecuta un archivo remoto”. No sabía que Notepad renderizaba Markdown

    • Si Notepad empieza a renderizar otros formatos, desaparece la razón por la que yo uso Notepad —su pureza como herramienta para quitar formato. La magia de Notepad estaba en esa simplicidad que ignoraba el formato del equipo de marketing
    • Probablemente sea una función añadida hace poco. Lo uso todos los días y recién la semana pasada vi por primera vez el renderizado de Markdown
    • Me hace pensar en la frase “los castigos seguirán hasta que suba la moral”

  • Extraño la época en que Notepad solo mostraba texto

    • Por eso uso Notepad2. El Notepad viejo no mostraba bien los saltos de línea LF, pero Notepad2 tiene un poco más de funciones y aun así sigue siendo ligero y limpio
    • En la época de XP, alternativas como Metapad eran mejores

  • Ya es hora de abandonar Windows por completo

    • No es broma: este año aumentó muchísimo la cantidad de gente que se está pasando a Linux porque “Windows ya es demasiado malo”. Yo hice eso el año pasado. Después de décadas de pensar “bueno, más o menos sirve”, ahora pasé a “esto ya no se puede tolerar”

  • El papel de Notepad era solo mostrar texto, y Microsoft le añadió superficie de ataque.
    Ni siquiera hace falta que llegue “el año del escritorio Linux” —si Windows sigue así, con eso basta

    • Pero en realidad parece que viene la era de Mac OS. Si los chips serie M llegan también a la gama baja, todos se irán para allá
 
savvykang 2026-02-12

Después de obligarme a actualizar a Windows 11, a veces el contenido del Bloc de notas se corrompe; de verdad parece que MS no entra en razón.
 
sudosudo 2026-02-12

Ya dejen de cambiar el Bloc de notas..
 
kayws426 2026-02-12

Un bug tan absurdo como “Bush hid the facts”
qué recuerdos.
 
ssolarsystem 2026-02-12

Parece que, como quitaron WordPad, empezaron a meter en Markdown texto con formato que no encajaba bien en un procesador de textos, y por eso pasó esto. Creo que, por seguridad, quizá sea mejor ir a Configuración y desactivar por completo las funciones de IA y de formato.