Wasmtime · Wasmtime · CVE-2026-27195
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Wasmtime 39.0.0 a 41.0.3
**Descrição**
O Wasmtime, um runtime para WebAssembly, pode sofrer um panic quando o embedder do host descarta o future retornado por `wasmtime::component::[Typed]Func::call async` antes de sua resolução e, em seguida, chama a mesma função novamente com a mesma instância de componente. Isso ocorre porque a instância do componente entra em um estado não reentrável, levando a um trap e subsequente panic durante o descarte da tarefa. O problema surge de um bug na implementação de `[Typed]Func::call async` introduzido com a feature `component-model-async`, que se tornou o padrão a partir da versão 39.0.0. O `Endpoint da API` envolvido é `wasmtime::component::[Typed]Func::call async`. A `variável` representando o future retornado não é nomeada explicitamente, mas seu manejo inadequado dispara o problema. O problema não afeta incorporações com a feature de tempo de compilação `component-model-async` desativada.
**Recomendações**
As versões do Wasmtime 39.0.0 a 40.0.3 devem ser atualizadas para a versão 40.0.4 ou 41.0.4.
As versões do Wasmtime 40.0.4 a 41.0.3 devem ser atualizadas para a versão 41.0.4.
Se uma incorporação não estiver usando nenhuma funcionalidade component-model-async, desative a feature do Cargo `component-model-async`.
Garanta que cada future `call async` seja aguardado até sua conclusão.
Evite usar o `Store` novamente após descartar um future `call async` ainda não resolvido.