つみかさね

CVE-2026-42484

Critical(9.8)

CVE-2026-42484 — hashcat PKZIPハッシュパーサーのヒープベースバッファオーバーフロー

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
hashcathashcat projectv7.1.2 以前

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1hashcat v7.1.2 以前を使用しているか確認
  2. 2hashcat の最新版へ即時アップデート
  3. 3アップデート不可の場合はPKZIP関連モジュール(17200系)の使用を停止

影響対象

hashcat
CVEhashcatバッファオーバーフローヒープオーバーフローPKZIPCWE-787

概要

hashcat は世界で最も広く利用されているパスワードリカバリツールの一つです。本脆弱性は hashcat v7.1.2 の PKZIP ハッシュパーサーに存在するヒープベースのバッファオーバーフローです。

具体的には、hex_to_binary 関数において PKZIP 関連のハッシュモジュール(モジュール 17200, 17210, 17220, 17225, 17230)の処理時に、入力データのサイズ検証が不十分なため、ヒープ領域のバッファを超えてデータが書き込まれる問題があります。

ヒープベースのバッファオーバーフローは、メモリの動的割り当て領域を破壊するため、プログラムのクラッシュ(DoS)だけでなく、ヒープメタデータの改ざんを通じた任意コード実行の可能性もあります。特に、悪意のあるハッシュファイルを hashcat に読み込ませることで攻撃が成立する可能性があるため、外部からハッシュファイルを受け付ける運用をしている場合は注意が必要です。

本脆弱性は CVE-2026-42482(スタックベースバッファオーバーフロー)と同時に報告されており、hashcat v7.1.2 には複数のメモリ安全性に関する問題が確認されています。両方の脆弱性に対応するため、最新版へのアップデートを推奨します。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-787 (境界外書き込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン影響モジュール
hashcathashcat projectv7.1.2 以前17200, 17210, 17220, 17225, 17230

修正バージョンと回避策

  • 修正バージョン: hashcat の最新版にアップデートしてください
  • 回避策: アップデートが即座に実施できない場合は、PKZIP 関連のハッシュモジュール(17200, 17210, 17220, 17225, 17230)の使用を避け、信頼できないハッシュファイルを読み込まないよう注意してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42482hashcat mangle_to_hex_lower/upperにおけるスタックベースバッファオーバーフローCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42484
Gist:https://gist.github.com/sgInnora/107f2eb20367e47d58c911e38d56a91f
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。