CVE-2026-34946 in wasmtimeinformazioni

Riassunto

di VulDB • 20/06/2026

Wasmtime è un runtime per WebAssembly. Dalla versione 25.0.0 fino alle versioni precedenti alla 36.0.7, nonché nelle versioni 42.0.2 e 43.0.1, il compilatore Winch di Wasmtime presenta una vulnerabilità in cui la compilazione dell'istruzione `table.fill` può causare un panic (crash) del host. Ciò significa che un guest valido può essere compilato con Winch su qualsiasi architettura, provocando il panic del host. Si tratta di una vulnerabilità di tipo denial-of-service (DoS) in Wasmtime, poiché i guest sono in grado di innescare un panic. Il problema specifico consiste nel fatto che una precedente refactoring ha modificato il modo in cui il codice compilato fa riferimento alle tabelle all'interno delle istruzioni `table.*`. Questa refactoring non ha aggiornato anche i percorsi del codice Winch associati, facendo sì che Winch utilizzasse uno schema di indicizzazione errato. A causa del supporto funzionalità di Winch, l'unico problema risultante è la confusione tra le tabelle o l'utilizzo di inesistenti, il che limita il guest alla possibilità di causare un panic al host (utilizzando una tabella inesistente) oppure eseguire comportamenti non conformi allo standard e modificare la tabella errata. Questa vulnerabilità è risolta nelle versioni 36.0.7, 42.0.2 e 43.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

09/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00358

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!