製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bytecode Allianceのwasmtimeにおける配列インデックスの検証に関する脆弱性

Title	Bytecode Allianceのwasmtimeにおける配列インデックスの検証に関する脆弱性
Summary	WasmtimeはWebAssemblyのランタイムです。24.0.7、36.0.7、42.0.2、および43.0.1より前のバージョンでは、WasmtimeのComponent Modelのutf16またはlatin1+utf16エンコーディングへの文字列のトランスコーディング実装において、再割り当てされた文字列のアライメント検証が不適切でした。これにより、未整列のポインタがトランスコーディングのためにホストに渡され、ホストがパニックを引き起こす可能性がありました。このパニックは、特定のアドレスを持つ非常に特定の文字列をコンポーネント間で転送する悪意のあるゲストからトリガーされる可能性があります。ホストのパニックは、この状況下でゲストが制御できるため、WasmtimeにおけるDoS（サービス拒否）攻撃のベクターと見なされます。この脆弱性は24.0.7、36.0.7、42.0.2、および43.0.1で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2026, midnight
Registration Date	April 21, 2026, 10:46 a.m.
Last Update	April 21, 2026, 10:46 a.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Affected System

Bytecode Alliance

wasmtime 24.0.7 未満

wasmtime 25.0.0 以上 36.0.7 未満

wasmtime 37.0.0 以上 42.0.2 未満

wasmtime 43.0.0 以上 43.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34942	https://www.cve.org/CVERecord?id=CVE-2026-34942
National Vulnerability Database (NVD)
2	CVE-2026-34942	https://nvd.nist.gov/vuln/detail/CVE-2026-34942

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-129	https://cwe.mitre.org/data/definitions/129.html

ベンダー情報

No	Name	URL
GitHub
1	Panic when transcoding misaligned component model UTF-16 strings Advisory bytecodealliance/wasmtime GitHub	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-jxhv-7h78-9775

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:46 a.m.

NVD Vulnerability Information

CVE-2026-34942

Summary	Wasmtime is a runtime for WebAssembly. Prior to 24.0.7, 36.0.7, 42.0.2, and 43.0.1, Wasmtime's implementation of transcoding strings into the Component Model's utf16 or latin1+utf16 encodings improperly verified the alignment of reallocated strings. This meant that unaligned pointers could be passed to the host for transcoding which would trigger a host panic. This panic is possible to trigger from malicious guests which transfer very specific strings across components with specific addresses. Host panics are considered a DoS vector in Wasmtime as the panic conditions are controlled by the guest in this situation. This vulnerability is fixed in 24.0.7, 36.0.7, 42.0.2, and 43.0.1.
Publication Date	April 10, 2026, 4:16 a.m.
Registration Date	April 15, 2026, 11:34 a.m.
Last Update	April 21, 2026, 3:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*				24.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	25.0.0			36.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	37.0.0			42.0.2
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	43.0.0			43.0.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-jxhv-7h78-9775	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-129	配列インデックスの不適切な検証	https://cwe.mitre.org/data/definitions/129.html