CVE-2026-27204 Bytecodealliance — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,9 (MEDIUM)
Уязвимые версии	25.0.0 — 41.0.4
Устранено в версии	24.0.6
Тип уязвимости	CWE-789, CWE-774, CWE-400 (Неконтролируемое потребление ресурсов), CWE-770 (Выделение ресурсов без ограничений)
Поставщик	Bytecodealliance
Публичный эксплойт	Нет

Wasmtime — это среда выполнения WebAssembly. До версий 24.0.6, 36.0.6, 4.0.04, 41.0.4 и 42.0.0 реализация хост-интерфейсов WASI в Wasmtime подвержена исчерпанию ресурсов на хосте, контролируемому гостем. Компания Wasmtime не установила надлежащие ограничения на выделение ресурсов, запрошенных гостями.

Это служит вектором отказа в обслуживании. Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4 и 42.0.0 были выпущены с исправлением этой проблемы. Эти версии не предотвращают эту проблему в своей конфигурации по умолчанию, чтобы избежать нарушения ранее существовавшего поведения.

Все версии Wasmtime имеют соответствующие регуляторы для предотвращения такого поведения, а в Wasmtime 42.0.0 и более поздних версиях эти регуляторы будут настроены по умолчанию, чтобы предотвратить возникновение этой проблемы. Никаких способов решения этой проблемы без обновления не существует. Разработчикам рекомендуется обновить и настроить свои встроенные компоненты по мере необходимости, чтобы предотвратить возникновение этой проблемы со стороны потенциально злонамеренных гостей.

Показать оригинальное описание (EN)

Wasmtime is a runtime for WebAssembly. Prior to versions 24.0.6, 36.0.6, 4.0.04, 41.0.4, and 42.0.0, Wasmtime's implementation of WASI host interfaces are susceptible to guest-controlled resource exhaustion on the host. Wasmtime did not appropriately place limits on resource allocations requested by the guests. This serves as a Denial of Service vector. Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4, and 42.0.0 have all been released with the fix for this issue. These versions do not prevent this issue in their default configuration to avoid breaking preexisting behaviors. All versions of Wasmtime have appropriate knobs to prevent this behavior, and Wasmtime 42.0.0-and-later will have these knobs tuned by default to prevent this issue from happening. There are no known workarounds for this issue without upgrading. Embedders are recommended to upgrade and configure their embeddings as necessary to prevent possibly-malicious guests from triggering this issue.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Требуются

Нужны дополнительные условия

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Пассивное

Минимальное взаимодействие

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-789

CWE-774

CWE-400 Uncontrolled Resource Consumption (Неконтролируемое потребление ресурсов)

CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)

Уязвимые продукты 4

Конфигурация	От (включительно)	До (исключительно)
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	—	`24.0.6`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`25.0.0`	`36.0.6`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`37.0.0`	`40.0.4`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`41.0.0`	`41.0.4`