CVE-2026-27204

Nome do Software Vulnerável e Versões Afetadas Versões do Wasmtime anteriores a 24.0.6 Versões do Wasmtime anteriores a 36.0.6 Versões do Wasmtime anteriores a 40.0.4 Versões do Wasmtime anteriores a 41.0.4 Versões do Wasmtime anteriores a 42.0.0

Descrição A implementação das interfaces de host WASI do Wasmtime é suscetível ao esgotamento de recursos no host controlado pelo guest. O runtime não limitou adequadamente as alocações de recursos solicitadas pelos guests, criando um vetor de Negação de Serviço (DoS). Um guest pode induzir comportamentos de travamento no host, como alocar grandes quantidades de memória, causando falhas de alocação ou acionando panics. O problema afeta WASIp1 e WASIp2, bem como qualquer API de host baseada no Modelo de Componentes (ou WIT) operando em tipos string ou list<T>. O problema pode levar à alocação de quantidades arbitrárias de memória do host, e o guest pode forçar o host a armazenar quantidades arbitrárias de dados em buffer.

Recomendações Atualize para a versão 24.0.6 ou posterior do Wasmtime. Atualize para a versão 36.0.6 ou posterior do Wasmtime. Atualize para a versão 40.0.4 ou posterior do Wasmtime. Atualize para a versão 41.0.4 ou posterior do Wasmtime. Atualize para a versão 42.0.0 ou posterior do Wasmtime.