CVE-2026-34945 in wasmtimeinformación

Resumen

por VulDB • 2026-05-21

Wasmtime es un entorno de ejecución para WebAssembly. Desde la versión 25.0.0 hasta las versiones anteriores a 36.0.7, 42.0.2 y 43.0.1, el compilador Winch de Wasmtime contiene un error en el que una tabla de 64 bits, parte de la propuesta memory64 de WebAssembly, traducía incorrectamente la instrucción table.size. Este error podría provocar la divulgación de datos de la pila del host a los invitados de WebAssembly. La pila del host puede contener posiblemente datos sensibles relacionados con otras operaciones originadas en el host, cuya divulgación a los invitados no está prevista. Este error surgió específicamente de un fallo en el que el valor devuelto por table.size estaba tipado estáticamente como un entero de 32 bits, en lugar de consultar el tipo de índice de la tabla para determinar el tamaño máximo del registro devuelto. Al combinar esto con detalles sobre la ABI de Winch, como las devoluciones de múltiples valores, se puede leer datos de la pila del host desde dentro de un invitado. Esta vulnerabilidad está corregida en las versiones 36.0.7, 42.0.2 y 43.0.1.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-09

Moderación

aceptado

Artículo

VDB-356656

CPE

listo

EPSS

0.00324

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!