CVE-2024-47763

Versões do Wasmtime 21.0.0 a 21.0.1

Versões do Wasmtime 22.0.0 a 22.0.0

Versões do Wasmtime 23.0.0 a 23.0.2

Versões do Wasmtime 24.0.0 a 24.0.0

Versões do Wasmtime 25.0.0 a 25.0.1

O problema está relacionado à implementação do Wasmtime de chamadas de cauda do WebAssembly combinadas com rastreamentos de pilha, o que pode resultar em uma falha de tempo de execução em determinados módulos do WebAssembly. Isso pode ocorrer quando uma função exportada em um módulo do WebAssembly executa um return call (ou return call indirect ou return call ref) para uma função host importada que captura um rastreamento de pilha. A falha é causada por uma assertiva interna no código de rastreamento de pilha que gera um panic!() do Rust. O impacto desse problema é um vetor de negação de serviço, no qual um módulo ou componente WebAssembly malicioso pode causar a falha do host. Não há outro impacto no momento além da disponibilidade do serviço, já que o resultado da falha é sempre uma falha e nada mais.

Para as versões 21.0.0 a 21.0.1 do Wasmtime, atualize para a versão 21.0.2.

Para as versões 22.0.0 a 22.0.0 do Wasmtime, atualize para a versão 22.0.1.

Para as versões 23.0.0 a 23.0.2 do Wasmtime, atualize para a versão 23.0.3.

Para as versões 24.0.0 a 24.0.0 do Wasmtime, atualize para a versão 24.0.1.

Para as versões 25.0.0 a 25.0.1 do Wasmtime, atualize para a versão 25.0.2.

Como solução alternativa temporária, considere desativar o suporte a chamadas de cauda no Wasmtime definindo `Config::wasm tail call(