Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-42482 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-01 |
| Producent | Hashcat |
| Produkt | Hashcat |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Stack-based buffer overflow w funkcjach
mangle_to_hex_lower()orazmangle_to_hex_upper()w plikusrc/rp_cpu.cw hashcat v7.1.2 pozwala atakującemu wywołać denial of service lub potencjalnie wykonać dowolny kod za pośrednictwem spreparowanego pliku reguł, lub poprzez opcje-jlub-kużyte z kandydatami na hasła o długości 128 lub więcej znaków. Podatność wynika z błędu w sprawdzaniu granic, który nie uwzględnia 2-krotnego rozszerzenia powstającego, gdy bajty hasła są konwertowane do formatu szesnastkowego.
Wymagane działania
Zaktualizuj hashcat do wersji nowszej niż 7.1.2 zawierającej poprawkę. Do czasu aktualizacji nie używaj plików reguł pochodzących z niezaufanych źródeł i nie dopuszczaj kandydatów na hasła dłuższych niż 128 znaków przy użyciu opcji -j/-k. W środowiskach pentesterskich/forensicznych traktuj hashcat jako narzędzie potencjalnie atakowane przez podane wejście.
Kogo dotyczy?
Podatność dotyczy produktu Hashcat projektu Hashcat. Sprawdź czy Twoja organizacja używa hashcat (typowo zespoły pentestowe, red team, forensic) i wdroż aktualizację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
