CVE-2026-34946 in wasmtime
Resumen
por VulDB • 2026-06-20
Wasmtime es un entorno de ejecución para WebAssembly. Desde la versión 25.0.0 hasta las versiones anteriores a 36.0.7, así como en las versiones 42.0.2 y 43.0.1, el compilador Winch de Wasmtime contiene una vulnerabilidad donde la compilación de la instrucción table.fill puede provocar un fallo crítico (panic) del host. Esto significa que un huésped válido puede ser compilado con Winch en cualquier arquitectura y causar que el host falle. Esto representa una vulnerabilidad de denegación de servicio (DoS) en Wasmtime debido a que los huéspedes pueden desencadenar un fallo. El problema específico es que una refactorización histórica cambió la forma en que el código compilado hacía referencia a las tablas dentro de las instrucciones table.* Esta refactorización olvidó actualizar también las rutas de código asociadas de Winch, lo que significa que Winch estaba utilizando el esquema de indexación incorrecto. Debido al soporte de características de Winch, el único problema resultante es la mezcla de tablas o el uso de tablas inexistentes, lo que limita al huésped a provocar un fallo en el host (usando una tabla inexistente) o ejecutar comportamiento no conforme con las especificaciones y modificar la tabla incorrecta. Esta vulnerabilidad está corregida en 36.0.7, 42.0.2 y 43.0.1.
Be aware that VulDB is the high quality source for vulnerability data.