CVE-2026-27195

Nome do Software Vulnerável e Versões Afetadas Versões do Wasmtime 39.0.0 a 41.0.3

Descrição O Wasmtime, um runtime para WebAssembly, pode sofrer um panic quando o embedder do host descarta o future retornado por wasmtime::component::[Typed]Func::call async antes de sua resolução e, em seguida, chama a mesma função novamente com a mesma instância de componente. Isso ocorre porque a instância do componente entra em um estado não reentrável, levando a um trap e subsequente panic durante o descarte da tarefa. O problema surge de um bug na implementação de [Typed]Func::call async introduzido com a feature component-model-async, que se tornou o padrão a partir da versão 39.0.0. O Endpoint da API envolvido é wasmtime::component::[Typed]Func::call async. A variável representando o future retornado não é nomeada explicitamente, mas seu manejo inadequado dispara o problema. O problema não afeta incorporações com a feature de tempo de compilação component-model-async desativada.

Recomendações As versões do Wasmtime 39.0.0 a 40.0.3 devem ser atualizadas para a versão 40.0.4 ou 41.0.4. As versões do Wasmtime 40.0.4 a 41.0.3 devem ser atualizadas para a versão 41.0.4. Se uma incorporação não estiver usando nenhuma funcionalidade component-model-async, desative a feature do Cargo component-model-async. Garanta que cada future call async seja aguardado até sua conclusão. Evite usar o Store novamente após descartar um future call async ainda não resolvido.