CVE-2026-24116

Nome do Software Vulnerável e Versões Afetadas Wasmtime versões anteriores a 36.0.5 Wasmtime versões 36.0.5 a 40.0.2 Wasmtime versões 40.0.3 a 41.0.0 Wasmtime versões 41.0.1

Descrição Uma falha no compilador Cranelift do Wasmtime pode levar a uma falha de segmentação no nível do host ao processar módulos WebAssembly maliciosos. Especificamente, a instrução WebAssembly f64.copysign, quando compilada com o Cranelift em plataformas x86-64 com AVX habilitado, pode carregar uma quantidade excessiva de dados da memória. Isso pode resultar em uma falha de segmentação não capturada se as armadilhas baseadas em sinais estiverem desabilitadas e as páginas de proteção estiverem habilitadas, potencialmente causando uma condição de negação de serviço. O problema surge de um tamanho incorreto de carga de memória durante a compilação, levando a um acesso fora dos limites. A vulnerabilidade não afeta a configuração padrão do Wasmtime, que tem as armadilhas baseadas em sinais habilitadas.

Recomendações Atualize para a versão 36.0.5 ou posterior do Wasmtime. Atualize para a versão 40.0.3 ou posterior do Wasmtime. Atualize para a versão 41.0.1 ou posterior do Wasmtime. Como solução alternativa, habilite as armadilhas baseadas em sinais.