CRITICAL🇬🇧 English

CVE-2026-34987

Wasmtime (Winch): ucieczka z sandboxa WebAssembly, dostęp do pamięci hosta

CVSS 9.0v4.0pub. 2026-04-09upd. 2026-04-15

Podatność w kompilatorze Winch środowiska uruchomieniowego Wasmtime pozwala spreparowanemu modułowi WebAssembly na dostęp do pamięci hosta poza wyznaczonym regionem liniowym (linear-memory sandbox). Skutki mogą obejmować wyciek danych z procesu hosta, jego awarię (DoS) lub w przypadku zapisu — zdalne wykonanie kodu (RCE).

Pokaż oryginał (EN)

Wasmtime is a runtime for WebAssembly. From 25.0.0 to before 36.0.7, 42.0.2, and 43.0.1, Wasmtime with its Winch (baseline) non-default compiler backend may allow properly constructed guest Wasm to access host memory outside of its linear-memory sandbox. This vulnerability requires use of the Winch compiler (-Ccompiler=winch). By default, Wasmtime uses its Cranelift backend, not Winch. With Winch, the same incorrect assumption is present in theory on both aarch64 and x86-64. The aarch64 case has an observed-working proof of concept, while the x86-64 case is theoretical and may not be reachable in practice. This Winch compiler bug can allow the Wasm guest to access memory before or after the linear-memory region, independently of whether pre- or post-guard regions are configured. The accessible range in the initial bug proof-of-concept is up to 32KiB before the start of memory, or ~4GiB after the start of memory, independently of the size of pre- or post-guard regions or the use of explicit or guard-region-based bounds checking. However, the underlying bug assumes a 32-bit memory offset stored in a 64-bit register has its upper bits cleared when it may not, and so closely related variants of the initial proof-of-concept may be able to access truly arbitrary memory in-process. This could result in a host process segmentation fault (DoS), an arbitrary data leak from the host process, or with a write, potentially an arbitrary RCE. This vulnerability is fixed in 36.0.7, 42.0.2, and 43.0.1.

🤖 Analiza AI
Jak działa

Błąd tkwi w nieprawidłowym założeniu kompilatora Winch dotyczącym 32-bitowych przesunięć pamięci przechowywanych w 64-bitowych rejestrach — górne bity rejestru mogą nie zostać wyczyszczone, co kompilator błędnie zakłada. Powoduje to, że odpowiednio skonstruowany gość Wasm może odczytywać lub zapisywać pamięć przed początkiem regionu liniowego (do 32 KiB) lub po jego końcu (do ~4 GiB), niezależnie od skonfigurowanych regionów ochronnych (guard regions). Problem dotyczy architektur aarch64 (potwierdzony działający proof-of-concept) oraz x86-64 (przypadek teoretyczny). Podatność jest możliwa wyłącznie przy użyciu niedomyślnego backendu Winch (flaga -Ccompiler=winch); domyślny backend Cranelift nie jest dotknięty.

Skutki

Atakujący kontrolujący moduł WebAssembly uruchamiany z backendem Winch może spowodować awarię procesu hosta (DoS poprzez naruszenie ochrony pamięci), wykraść dowolne dane z jego przestrzeni adresowej lub — przy operacji zapisu — potencjalnie uzyskać zdalne wykonanie kodu (RCE) w kontekście procesu hosta.

Mitygacja

Należy zaktualizować Wasmtime do wersji 36.0.7, 42.0.2 lub 43.0.1. Jeśli natychmiastowa aktualizacja nie jest możliwa, jako obejście należy zaprzestać używania backendu Winch i korzystać z domyślnego backendu Cranelift. Szczegóły dostępne w repozytorium producenta: https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-xx5w-cvp6-jv83

Kogo dotyczy

Bytecodealliance Wasmtime w wersjach od 25.0.0 do przed 36.0.7, od 42.0.0 do przed 42.0.2 oraz od 43.0.0 do przed 43.0.1, wyłącznie przy aktywnym backendzie Winch (-Ccompiler=winch). Domyślna konfiguracja z backendem Cranelift nie jest podatna.

Uwagi

Dla architektury aarch64 istnieje potwierdzony działający proof-of-concept opisany w oryginalnym opisie podatności. Przypadek x86-64 pozostaje teoretyczny i może być nieosiągalny w praktyce. Podatność dotyczy wyłącznie niedomyślnej, eksperymentalnej konfiguracji z backendem Winch.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Bytecodealliance Wasmtime

    APP
    Bytecodealliance
    43.0.025.0.0 – 36.0.7 (bez)37.0.0 – 42.0.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-34971CRITICAL9.0PL ✓ten sam produkt

Wasmtime Cranelift: ucieczka z sandbox przez błędną kompilację na aarch64

CVE-2023-26489CRITICAL9.9ten sam produkt

wasmtime is a fast and secure runtime for WebAssembly. In affected versions wasmtime's code generator, Craneli...

CVE-2022-39393HIGH8.6ten sam produkt

Wasmtime is a standalone runtime for WebAssembly. Prior to versions 2.0.2 and 1.0.2, there is a bug in Wasmtim...

CVE-2022-24791HIGH8.1ten sam produkt

Wasmtime is a standalone JIT-style runtime for WebAssembly, using Cranelift. There is a use after free vulnera...

CVE-2026-44216MEDIUM5.9ten sam produkt

Wasmtime is a runtime for WebAssembly. From 30.0.0 to 36.0.8, 43.0.2, and 44.0.1, Wasmtime's allocation logic ...