CVE-2026-34946 in wasmtime
요약
\~에 의해 VulDB • 2026. 05. 22.
Wasmtime는 WebAssembly용 런타임입니다. 25.0.0부터 36.0.7, 42.0.2, 43.0.1 이전 버전까지 Wasmtime의 Winch 컴파일러에는 table.fill 명령어 컴파일 시 호스트 패닉(host panic)을 유발할 수 있는 취약점이 있습니다. 이는 어떤 아키텍처에서도 유효한 게스트 코드가 Winch로 컴파일되어 호스트 패닉을 일으킬 수 있음을 의미합니다. 이는 게스트가 패닉을 트리거할 수 있으므로 Wasmtime에서 서비스 거부(Denial-of-Service) 취약점으로 간주됩니다. 구체적인 문제는 역사적인 리팩토링 과정에서 table.* 명령어 내에서 컴파일된 코드가 테이블을 참조하는 방식이 변경되었으나, 해당 리팩토링으로 인해 Winch의 관련 코드 경로가 업데이트되지 않아 Winch가 잘못된 인덱싱 체계를 사용하게 되었다는 점입니다. Winch의 기능 지원 범위상 이로 인해 발생할 수 있는 문제는 테이블이 혼동되거나 존재하지 않는 테이블이 사용되는 것뿐이므로, 게스트는 호스트를 패닉시키거나(존재하지 않는 테이블 사용), 사양과 일치하지 않는 동작을 실행하여 잘못된 테이블을 수정하는 것에만 제한됩니다. 이 취약점은 36.0.7, 42.0.2, 43.0.1에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.