PT-2026-21806 · Bytecode Alliance · Wasmtime
Alexcrichton
·
Publicado
2026-01-01
·
Atualizado
2026-02-25
·
CVE-2026-27572
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Wasmtime anteriores a 24.0.6
Versões do Wasmtime anteriores a 36.0.6
Versão do Wasmtime 4.0.04
Versões do Wasmtime anteriores a 41.0.4
Versões do Wasmtime anteriores a 42.0.0
Descrição
A implementação do recurso
wasi:http/types.fields do Wasmtime é suscetível a pânico quando um número excessivo de campos é adicionado ao conjunto de cabeçalhos. O crate wasmtime-wasi-http utiliza uma estrutura de dados que entra em pânico quando atinge sua capacidade, e essa condição não foi tratada adequadamente. Um pânico em uma implementação WASI pode levar a uma Negação de Serviço para os incorporadores.Recomendações
Atualize para a versão 24.0.6 ou posterior do Wasmtime.
Atualize para a versão 36.0.6 ou posterior do Wasmtime.
Atualize para a versão 4.0.04 ou posterior do Wasmtime.
Atualize para a versão 41.0.4 ou posterior do Wasmtime.
Atualize para a versão 42.0.0 ou posterior do Wasmtime.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wasmtime