CVE-2025-61670

Nome do Software Vulnerável e Versões Afetadas Versões do Wasmtime 37.0.0 a 37.0.1

Descrição O Wasmtime, um runtime para WebAssembly, contém vazamentos de memória em sua API C/C++ ao utilizar bindings para valores WebAssembly anyref ou externref. Este problema decorre de uma regressão introduzida durante o desenvolvimento da versão 37.0.0, especificamente relacionada a uma refatoração de ManuallyRooted<T> para OwnedRooted<T> em Rust. As APIs C e C++ não foram totalmente atualizadas para refletir as novas semânticas de propriedade de OwnedRooted<T>, levando a vazamentos de memória. Especificamente, um erro de digitação na função wasmtime val unroot impediu o desenraizamento adequado, e funções definidas pelo host que retornam valores wasmtime {externref,anyref} t nunca tiveram suas raízes removidas. A API C++ carecia de destrutores em tipos relevantes, contribuindo ainda mais para o problema. Esses vazamentos ocorrem quando anyref ou externref são usados na API C/C++, e o crate Rust wasmtime não é afetado.

Recomendações Atualize para a versão 37.0.2 ou posterior do Wasmtime para corrigir os vazamentos de memória na API C/C++. Evite usar externref e anyref na API C/C++ do Wasmtime se a atualização não for imediatamente possível.