製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bytecode Allianceのwasmtimeにおけるキャッチされない例外に関する脆弱性

Title	Bytecode Allianceのwasmtimeにおけるキャッチされない例外に関する脆弱性
Summary	WasmtimeはWebAssemblyのランタイムです。24.0.7、36.0.7、42.0.2、および43.0.1以前のバージョンでは、SSE3が無効化されたx86-64プラットフォーム上で、Craneliftを使用したf64x2.splat WebAssembly命令のコンパイル時に、必要以上に8バイト多く読み込んでしまう可能性があります。シグナルベースのトラップが無効化されている場合、マップされていないガードページから読み込みが発生し、キャッチされないセグメンテーションフォルト(segfault)が起こる可能性があります。ガードページが無効な場合、サンドボックス外のデータを読み込む可能性がありますが、このデータはWebAssemblyゲストには見えません。この脆弱性は24.0.7、36.0.7、42.0.2、および43.0.1で修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2026, midnight
Registration Date	April 21, 2026, 10:46 a.m.
Last Update	April 21, 2026, 10:46 a.m.

CVSS3.0 : 警告
Score	5.7
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Affected System

Bytecode Alliance

wasmtime 24.0.7 未満

wasmtime 25.0.0 以上 36.0.7 未満

wasmtime 37.0.0 以上 42.0.2 未満

wasmtime 43.0.0 以上 43.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34944	https://www.cve.org/CVERecord?id=CVE-2026-34944
National Vulnerability Database (NVD)
2	CVE-2026-34944	https://nvd.nist.gov/vuln/detail/CVE-2026-34944

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-248	https://cwe.mitre.org/data/definitions/248.html

ベンダー情報

No	Name	URL
GitHub
1	Wasmtime segfault or unused out-of-sandbox load with `f64x2.splat` operator on Cranelift x86-64 Advisory bytecodealliance/wasmtime GitHub	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-qqfj-4vcm-26hv

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:46 a.m.

NVD Vulnerability Information

CVE-2026-34944

Summary	Wasmtime is a runtime for WebAssembly. Prior to 24.0.7, 36.0.7, 42.0.2, and 43.0.1, On x86-64 platforms with SSE3 disabled Wasmtime's compilation of the f64x2.splat WebAssembly instruction with Cranelift may load 8 more bytes than is necessary. When signals-based-traps are disabled this can result in a uncaught segfault due to loading from unmapped guard pages. With guard pages disabled it's possible for out-of-sandbox data to be loaded, but this data is not visible to WebAssembly guests. This vulnerability is fixed in 24.0.7, 36.0.7, 42.0.2, and 43.0.1.
Publication Date	April 10, 2026, 4:16 a.m.
Registration Date	April 15, 2026, 11:34 a.m.
Last Update	April 21, 2026, 3:27 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*				24.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	25.0.0			36.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	37.0.0			42.0.2
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	43.0.0			43.0.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-qqfj-4vcm-26hv	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-248	キャッチされない例外	https://cwe.mitre.org/data/definitions/248.html