CVE-2024-51745

Versões do Wasmtime anteriores à 24.0.2

Versões do Wasmtime anteriores à 25.0.3

Versões do Wasmtime anteriores à 26.0.1

O problema diz respeito à implementação da sandbox do sistema de arquivos do Wasmtime no Windows, que não consegue bloquear o acesso a nomes de arquivos de dispositivos especiais que utilizam dígitos sobrescritos, como “COM¹”, “COM²”, “LPT⁰”, “LPT¹” e assim por diante. Isso permite que programas Wasm não confiáveis contornem a sandbox e acessem dispositivos por meio desses nomes de arquivo especiais, potencialmente obtendo acesso a dispositivos periféricos conectados ao computador ou a recursos de rede mapeados para esses dispositivos. Isso pode incluir modems, impressoras, impressoras de rede e qualquer outro dispositivo conectado a uma porta serial ou paralela, incluindo portas seriais USB emuladas.

Para as versões 23.0.x e anteriores do Wasmtime, atualize para uma das versões corrigidas, como 24.0.2, 25.0.3 ou 26.0.1.

Como não há soluções alternativas conhecidas para este problema, recomenda-se que os usuários do Windows afetados atualizem para uma versão corrigida.