CVE-2026-27572 Bytecodealliance — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,9 (MEDIUM)
Уязвимые версии	25.0.0 — 41.0.4
Устранено в версии	24.0.6
Тип уязвимости	CWE-770 (Выделение ресурсов без ограничений)
Поставщик	Bytecodealliance
Публичный эксплойт	Нет

Wasmtime — это среда выполнения WebAssembly. До версий 24.0.6, 36.0.6, 4.0.04, 41.0.4 и 42.0.0 реализация Wasmtime ресурса `wasi:http/types.fields` подвержена панике, когда в набор заголовков добавляется слишком много полей. Реализация Wasmtime в крейте `wasmtime-wasi-http` поддерживается структурой данных, которая вызывает панику при достижении чрезмерной емкости, и это условие не было корректно обработано в Wasmtime.

Паника в реализации WASI является вектором отказа в обслуживании для разработчиков и рассматривается как уязвимость безопасности в Wasmtime. Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4 и 42.0.0 исправляет эту уязвимость и возвращает гостю ловушку вместо того, чтобы паниковать. На данный момент нет известных обходных путей.

Разработчикам приложений рекомендуется выполнить обновление до исправленной версии Wasmtime.

Показать оригинальное описание (EN)

Wasmtime is a runtime for WebAssembly. Prior to versions 24.0.6, 36.0.6, 4.0.04, 41.0.4, and 42.0.0, Wasmtime's implementation of the `wasi:http/types.fields` resource is susceptible to panics when too many fields are added to the set of headers. Wasmtime's implementation in the `wasmtime-wasi-http` crate is backed by a data structure which panics when it reaches excessive capacity and this condition was not handled gracefully in Wasmtime. Panicking in a WASI implementation is a Denial of Service vector for embedders and is treated as a security vulnerability in Wasmtime. Wasmtime 24.0.6, 36.0.6, 40.0.4, 41.0.4, and 42.0.0 patch this vulnerability and return a trap to the guest instead of panicking. There are no known workarounds at this time. Embedders are encouraged to update to a patched version of Wasmtime.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Требуются

Нужны дополнительные условия

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Пассивное

Минимальное взаимодействие

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)

Уязвимые продукты 4

Конфигурация	От (включительно)	До (исключительно)
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	—	`24.0.6`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`25.0.0`	`36.0.6`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`37.0.0`	`40.0.4`
Bytecodealliance Wasmtime cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	`41.0.0`	`41.0.4`