概要
hashcat は世界で最も広く利用されているパスワードリカバリツールの一つで、セキュリティ監査やペネトレーションテストにおいて標準的に使用されています。
本脆弱性は hashcat v7.1.2 の src/rp_cpu.c に含まれる mangle_to_hex_lower および mangle_to_hex_upper 関数におけるスタックベースのバッファオーバーフローです。ルールベースの攻撃処理において、入力データの長さに対する検証が不十分なため、スタック上のバッファを超えてデータが書き込まれる可能性があります。
この脆弱性を悪用されると、クラッシュによるサービス妨害(DoS)や、場合によっては任意コードの実行につながる可能性があります。hashcat は通常ローカル環境で使用されますが、自動化されたパイプラインやリモートからジョブを受け付けるような構成で運用している場合は、外部からの攻撃ベクトルとなりえます。
セキュリティ評価基盤やCI/CDパイプラインに hashcat を組み込んでいる環境では、速やかにアップデートを実施してください。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-787 (境界外書き込み), CWE-121 (スタックベースバッファオーバーフロー) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| hashcat | hashcat project | v7.1.2 以前 |
修正バージョンと回避策
- 修正バージョン: hashcat の最新版にアップデートしてください
- 回避策: アップデートが即座に実施できない場合は、信頼できない入力をルールファイルとして使用しないよう注意してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。