NotepadNext Lua 代码注入漏洞总结 漏洞概述 NotepadNext 存在 Lua 代码注入漏洞。攻击者可通过恶意文件扩展名或动态字符串执行任意 Lua 代码。 影响范围 所有使用 NotepadNext 的用户 支持 Lua 脚本功能的版本 修复方案 1. 防止 Lua 代码注入:禁止从恶意文件扩展名执行 Lua 代码 2. 限制字符串执行:只允许字符串字面量作为 Lua 代码执行,禁止动态构建的字符串 3. 代码修改: - 将 方法改为使用 并传递 参数 - 添加 私有方法用于内部执行 - 修改 方法,使用 和 替代直接字符串操作 - 添加模板方法 系列用于安全执行 POC/利用代码