[CVE-2026-20841] Windows Notepad RCE¶
1. 개요¶
| 항목 | 내용 |
|---|---|
| Description | Microsoft의 Windows Notepad에서 발생하는 원격 코드 실행 취약점 |
| CVE ID | CVE-2026-20841 |
| CVSS v3.1 Score | 8.8 (High) |
| CVSS Vector | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 영향받는 버전 | 11.0.0 ~ 11.2510 미만 |
| 패치 버전 | 11.2510 이상 |
Windows Notepad의 Markdown 링크 처리 과정에서 링크에 저장된 값이 필터링되지 않은 상태로 전달되어서, 공격자가 작성한
.md파일을 통해 피해자의 권한에서 임의 명령을 실행할 수 있는 취약점이다. (피해자가 링크를 클릭했을 때 공격자가 삽입한 코드가 실행되는 방식)
2. 취약점 분석¶
2.1. 원인¶
Microsoft가 2025년에 Notepad에 Markdown 렌더링 기능을 추가하면서, .md 확장자를 가진 파일을 Notepad(메모장)으로 열 수 있다. 고정 문자열을 비교하는 sub_1400ED5D0() 함수를 통해서 Markdown 렌더링 여부를 확인하고 파싱 및 렌더링 하는 원리이다.
메모장 리버싱을 수행하지 못 해서.. sub_1400ED5D0() 함수가 어떤건지 자세히 알지 못 한다. 직접 프로그램을 분석해보는 능력이 필요하다.
Markdown이 지원하는 링크 형식은 다음과 같다.
- 아래와 같이 링크를 구성하고
.md파일에서 클릭하면 입력한 링크로 이동
# 표준 링크 (link-name만 노출)
[link-name](link/path)
[link-test](https://piro.kr/cves/CVE-2026-20841)
# 인라인 링크 (경로가 그대로 표시)
<link/path>
<https://piro.kr/cves/CVE-2026-20841>
# 링크 적용 결과 (클릭 가능한 링크로 변환)
CVE-2026-20841
https://piro.kr/cves/CVE-2026-20841
2.9. 전제 조건 및 제약사항¶
공개된 PoC를 테스트한 결과, 실제 공격에 활용하기에는 아래와 같은 제약사항이 있다고 판단했다.
| # | 제약사항 | 설명 | 공격 영향도 |
|---|---|---|---|
| 1 | 사용자 개입 필요 | 파일 다운로드 및 파일 열기, 삽입된 링크 클릭과 실행 2단계 행동 필요 | 완전 자동화 불가 |
| 2 | Notepad로 .md 파일 열기 | .md는 기본적으로 Notepad로 열리는 파일이 아니기 때문에 사용자가 직접 연결 프로그램 선택 필요 |
사용자 개입 필요 |
| 3 | 보안 경고 알림창에서 "실행" 클릭 필요 | OS의 보안 경고를 피해자가 직접 클릭해서 실행하는 과정 필요 | 사회공학적 유도 필요 |
| 4 | 키패드 조합 링크 클릭 필요 | Ctrl+클릭으로 링크에 접근할 수 있으며, 단순 클릭은 불가능 | 사용자 개입 필요 |