76 vulnerabilidades de día cero descubiertas por hackers en Pwn2Own Automotive 2026

Investigadores de seguridad en Pwn2Own Automotive 2026 demostraron 76 vulnerabilidades únicas de día cero en cargadores de vehículos eléctricos y sistemas de infoentretenimiento a bordo. El evento de tres días en Tokio otorgó un total de 1.047.000 USD, con Fuzzware.io ganando el título de Maestro de Pwn. Actividades del Día Uno El primer día incluyó 30 participaciones dirigidas a sistemas como Alpine iLX-F511, Kenwood DNR1007XR y varios cargadores de vehículos eléctricos

Investigadores de seguridad en Pwn2Own Automotive 2026 demostraron 76 vulnerabilidades zero-day únicas en cargadores de vehículos eléctricos y sistemas de infoentretenimiento a bordo.

El evento de tres días en Tokio otorgó un total de $1,047,000 USD, con Fuzzware.io ganando el título de Master of Pwn.

Actividades del Día Uno

El Día Uno presentó 30 participaciones dirigidas a sistemas como Alpine iLX-F511, Kenwood DNR1007XR y varios cargadores de vehículos eléctricos, generando $516,500 USD por 37 zero-days.

That’s it for Day 1 of #Pwn2Own Automotive 2026! In total, we awarded a staggering $516,500 for 37 unique 0-days. https://t.co/KMWGhq1utw has the early lead for Master of Pwn but anything can change. Stay tuned for more results from Days 2 & 3! pic.twitter.com/Fx0415pMhY

— TrendAI Zero Day Initiative (@thezdi) January 21, 2026

Neodyme AG ganó $20,000 por un desbordamiento de búfer basado en pila en Alpine iLX-F511, mientras que Fuzzware.io encadenó CWE-306 y CWE-347 para obtener $50,000 en un cargador Autel con manipulación de señales.

El equipo 299 de SKShieldus explotó credenciales hardcodeadas (CWE-798) y CWE-494 en Grizzl-E Smart 40A por $40,000; Team DDOS atacó ChargePoint Home Flex con inyección de comandos por otros $40,000; PetoWorks encadenó DoS, condición de carrera e inyección en Phoenix Contact CHARX SEC-3150 por $50,000.

Fuzzware.io dominó aún más con un desbordamiento de escritura fuera de límites en Alpitronic HYC50 por $60,000, y Synacktiv logró un ataque USB a Tesla mediante fuga de información y escritura fuera de límites por $35,000.

Actividades del Día Dos

La intensa acción del Día Dos sumó $439,250 USD y 29 zero-days, elevando los totales a 66 fallos y $955,750. Hank Chen de InnoEdge Labs obtuvo $40,000 en Alpitronic HYC50 Lab Mode mediante un método peligroso expuesto; Rob Blakely encadenó lectura fuera de límites, agotamiento de memoria y desbordamiento de heap en Automotive Grade Linux por $40,000.

What a day! We saw some amazing research on display as the team from https://t.co/KMWGhq1utw takes a commanding lead in the Master of Pwn standings. So far, we have award a monstrous $955,750 over 2 days for 66 0-days. For the full results of Day 2 of #Pwn2Own Automotive, see… pic.twitter.com/tXoC6byaDC

— TrendAI Zero Day Initiative (@thezdi) January 22, 2026

Fuzzware.io continuó fuerte con $50,000 en Phoenix CHARX SEC-3150 (tres bugs más complementos, 7 puntos); Synacktiv atacó el complemento Autel MaxiCharger con desbordamiento de búfer en pila por $30,000; Fuzzware.io y Summoning Team ganaron $30,000 cada uno en complementos de ChargePoint Home Flex mediante inyección de comandos y dos bugs, respectivamente.

Actividades del Día Tres

Los éxitos y colisiones del día final cerraron el evento, con Fuzzware.io asegurando el título de Master of Pwn con 28 puntos y $215,500 USD en total. PetoWorks explotó un desbordamiento de búfer en Grizzl-E Smart 40A por $10,000; Viettel Cyber Security usó un desbordamiento de búfer basado en heap en Sony XAV-9500ES por $10,000.

$1,047,000 USD – 76 unique 0-day vulnerabilities – three days of incredible research on display. #Pwn2Own Automotive 2026 had it all: bold exploits, clever techniques, and collisions. Congrats to https://t.co/KMWGhq1utw (@ScepticCtf, @diff_fusion, @SeTcbPrivilege), Master of Pwn… pic.twitter.com/PSAXoSHEUK

— TrendAI Zero Day Initiative (@thezdi) January 23, 2026

Juurin Oy demostró TOCTOU en Alpitronic HYC50, instalando el juego Doom, ganando $20,000 y 4 puntos; múltiples colisiones en Alpine, Kenwood y cargadores resultaron en premios parciales, como $16,750 para Ryo Kato en Autel. Elias Ikkelä-Koski y Aapo Oksman atacaron Kenwood con seguimiento de enlaces por $5,000.

Vulnerabilidades críticas con altas recompensas

Los premios más altos ($30,000+) destacaron fallos graves en cargadores e infoentretenimiento, a menudo encadenando múltiples problemas para obtener acceso root o manipulación de señales.

Día	Equipo	Objetivo	Recompensa (USD)	Vulnerabilidades clave	Puntos
1	Fuzzware.io	Alpitronic HYC50 Field	60,000	Escritura fuera de límites	6
1	PetoWorks	Phoenix CHARX SEC-3150	50,000	DoS, condición de carrera, inyección de comandos	5
1	Fuzzware.io	Cargador Autel	50,000	CWE-306, CWE-347 (ejecución de código + manipulación de señal)	5
1	Synacktiv	USB de infoentretenimiento Tesla	35,000	Fuga de información, escritura fuera de límites	3.5
2	Fuzzware.io	Phoenix CHARX SEC-3150	50,000	Tres bugs + dos complementos	7
2	InnoEdge Labs	Alpitronic HYC50 Lab	40,000	Método peligroso expuesto	4
2	Technical Debt Collectors	Automotive Grade Linux	40,000	Lectura fuera de límites, agotamiento de memoria, desbordamiento de heap	4
2	Synacktiv	Complemento Autel MaxiCharger	30,000	Desbordamiento de búfer en pila	5
2	Fuzzware.io	Complemento ChargePoint Home Flex	30,000	Inyección de comandos	5
2	Summoning Team	Complemento ChargePoint Home Flex	30,000	Dos bugs	5

Estas zero-days exponen riesgos en cargadores de vehículos eléctricos conectados y sistemas de infoentretenimiento, permitiendo potencialmente la ejecución remota de código o manipulación del vehículo. ZDI coordina la divulgación a los fabricantes para su parcheo, subrayando la urgencia de la ciberseguridad automotriz ante el aumento en la adopción de vehículos eléctricos. Los triunfos de Fuzzware.io demuestran la eficacia del fuzzing contra sistemas embebidos complejos.

Fuentes:
https://cybersecuritynews.com/0-day-vulnerabilities-pwn2own-automotive-2026-2/