CVE-2026-42482

Descripción de la Vulnerabilidad

CVE-2026-42482 es una vulnerabilidad crítica en el software hashcat, específicamente en la función mangle_to_hex_lower() y mangle_to_hex_upper() del archivo src/rp_cpu.c. La falla ocurre debido a un control de límites insuficiente que no considera la expansión de 2x al convertir bytes de contraseña en hexadecimal. Esto permite a un atacante provocar un denial of service o, en casos extremos, ejecutar código arbitrario mediante un archivo de reglas maliciosas o opciones específicas como -j o -k al procesar contraseñas de 128 caracteres o más.

Sistemas Afectados

La vulnerabilidad afecta versiones de hashcat antes de la v7.1.2. Los usuarios que utilicen esta herramienta para procesar contraseñas largas (128 caracteres o más) con reglas personalizadas están expuestos a un posible ataque.

Impacto y Explotabilidad

La calificación CVSS de 9.8 (CRITICAL) refleja el alto impacto de la vulnerabilidad. Un atacante puede causar interrupciones en servicios críticos o incluso comprometer sistemas mediante la ejecución no autorizada de código. La explotación requiere un archivo de reglas malicioso o la utilización de opciones específicas durante la procesación de contraseñas, lo que la hace susceptible a ataques por el lado del cliente.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación y Parches

El parche recomendado es actualizar hashcat a la versión v7.1.2 o posterior, que corrige el control de límites en la conversión hexadecimal. Hasta entonces, se recomienda: - Evitar el uso de reglas personalizadas con opciones como -j o -k para contraseñas largas. - Monitorear las actividades de procesamiento de archivos de reglas y limitar el uso de herramientas con altos privilegios.