製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bytecode Allianceのwasmtimeにおけるキャッチされない例外に関する脆弱性

タイトル	Bytecode Allianceのwasmtimeにおけるキャッチされない例外に関する脆弱性
概要	WasmtimeはWebAssemblyのランタイムです。バージョン24.0.7、36.0.7、42.0.2、および43.0.1以前のWasmtimeには、flags型のコンポーネントモデルの値をVal型にリフトするときにパニックが発生する可能性があります。コンポーネントモデルが指定するflagsのセット外にビットが設定されている場合、これらのビットは無視されるべきですが、Wasmtimeはこの値をリフトするときにパニックを起こします。このパニックはflags!マクロを使用した場合には発生せず、wasmtimeのValへのリフト実装にのみ影響します。さらに、この問題はWITインターフェースの一部であるflags型の値にのみ影響します。この問題により、Wasmtimeはホスト内のゲスト制御パニックをDoS攻撃のベクターと見なすリスクがあります。この脆弱性はバージョン24.0.7、36.0.7、42.0.2、および43.0.1で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月9日0:00
登録日	2026年4月21日10:46
最終更新日	2026年4月21日10:46

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Bytecode Alliance

wasmtime 24.0.7 未満

wasmtime 25.0.0 以上 36.0.7 未満

wasmtime 37.0.0 以上 42.0.2 未満

wasmtime 43.0.0 以上 43.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34943	https://www.cve.org/CVERecord?id=CVE-2026-34943
National Vulnerability Database (NVD)
2	CVE-2026-34943	https://nvd.nist.gov/vuln/detail/CVE-2026-34943

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-248	https://cwe.mitre.org/data/definitions/248.html

ベンダー情報

No	名前	URL
GitHub
1	Panic when lifting `flags` component value Advisory bytecodealliance/wasmtime GitHub	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-m758-wjhj-p3jq

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:46

NVD脆弱性情報

CVE-2026-34943

概要	Wasmtime is a runtime for WebAssembly. Prior to 24.0.7, 36.0.7, 42.0.2, and 43.0.1, Wasmtime contains a possible panic which can happen when a flags-typed component model value is lifted with the Val type. If bits are set outside of the set of flags the component model specifies that these bits should be ignored but Wasmtime will panic when this value is lifted. This panic only affects wasmtime's implementation of lifting into Val, not when using the flags! macro. This additionally only affects flags-typed values which are part of a WIT interface. This has the risk of being a guest-controlled panic within the host which Wasmtime considers a DoS vector. This vulnerability is fixed in 24.0.7, 36.0.7, 42.0.2, and 43.0.1.
公表日	2026年4月10日4:16
登録日	2026年4月15日11:34
最終更新日	2026年4月21日3:28

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*				24.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	25.0.0			36.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	37.0.0			42.0.2
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	43.0.0			43.0.1