CVE-2025-43853 in wasm-micro-runtime
要約
〜によって VulDB • 2026年07月16日
WebAssembly Micro Runtime (WAMR) の iwasm パッケージは、WebAssembly System Interface (WASI) とコマンドラインインターフェースをサポートする WAMR VMcore を用いてビルドされた実行可能バイナリです。バージョン 2.2.0 以降の WAMR または Windows で libc-uvwasi を使用してビルドされた WAMR を実行しているすべてが、シンボリックリンク追従(symlink following)脆弱性の影響を受けます。Windows で動作する WAMR では、事前オープンディレクトリの外側を指すシンボリックリンクを作成し、その後 create フラグを使用してそれを開くと、サンドボックス外のホスト上にファイルが作成されます。もしそのシンボリックリンクが存在するホストファイルを指している場合、それを開いて内容を参照することも可能です。この問題はバージョン 2.3.0 で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.