文章总结： 该文档介绍了CVE-2026-20841，一个影响Windows11特定版本（低于11.2510）记事本应用的远程代码执行漏洞。漏洞源于对命令中特殊元素处理不当，允许通过网络注入命令执行。虽然需要用户交互（如打开恶意文件），但攻击面广泛。作者尝试复现未成功，可能因测试环境版本不符或已自动更新。文档提供了相关PoC仓库和研究文章链接，供进一步研究。 综合评分： 65 文章分类： 漏洞分析,二进制安全,渗透测试

CVE-2026-20841（Win11-记事本RCE）复现学习(未果)

原创

MicroPest MicroPest

MicroPest

2026年2月15日 22:28 安徽

当在Github-CVE监测平台上看到《CVE-2026-20841:Windows 记事本RCE》这个时，惊呆了。windows 记事本？wtf?

微软无处不在的记事本应用——一款几乎在所有 Windows 终端上都运行的、备受信赖的工具——被发现存在一个严重的远程代码执行 (RCE) 漏洞，编号为 CVE-2026-20841。该漏洞源于对命令中使用的特殊元素处理不当，从而允许通过网络注入命令。虽然需要用户交互才能触发，但攻击面非常大：记事本是默认文本编辑器，也是社会工程攻击中常见的攻击媒介。本文将深入剖析该漏洞的技术机制，提供利用和缓解步骤，并将此漏洞与应用层命令注入的更广泛趋势联系起来。

找了一些资料来看，确实是 windows 记事本，受影响的是  win 11 <11.2510。

想复现一下，但都没有成功。主要是 win11 <11.2510条件的镜像没找到合适能用的。测试了一个win11 22H2-11.2112的，如下，

没成功。原因不详，可能是虚拟机安装时被自动更新/漏洞补上了，可能是非要某个Microsoft Store版的Notepad。没有找到合适的测试环境，也不想再找了，于是将搜集来的几篇资料附上，供大家研究：

1. GitHub PoC 仓库

目前有几个公开的 PoC 仓库可以用来复现这个漏洞：

2. 相关研究文章介绍

《https://undercodetesting.com/cve-2026-20841-exploiting-notepads-command-injection-for-covert-network-access-video/》

《Windows Notepad 命令注入漏洞复现(CVE-2026-20841)》

《https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/》

《https://jacen.moe/blog/20260211-weaponizing-notepad-bypassing-microsofts-cve-2026-20841-fix/》

以上文章选择了不同的技术特点，博采。

总结：这个CVE的危害性还是挺大的，如果你找到了合适的windows11某个版本并测试成功，请告知我一下windows11的哪个版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：MicroPest MicroPest MicroPest《CVE-2026-20841（Win11-记事本RCE）复现学习(未果)》