製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bytecode Allianceのwasmtimeにおける配列インデックスの検証に関する脆弱性

タイトル	Bytecode Allianceのwasmtimeにおける配列インデックスの検証に関する脆弱性
概要	WasmtimeはWebAssemblyのランタイムです。24.0.7、36.0.7、42.0.2、および43.0.1より前のバージョンでは、WasmtimeのComponent Modelのutf16またはlatin1+utf16エンコーディングへの文字列のトランスコーディング実装において、再割り当てされた文字列のアライメント検証が不適切でした。これにより、未整列のポインタがトランスコーディングのためにホストに渡され、ホストがパニックを引き起こす可能性がありました。このパニックは、特定のアドレスを持つ非常に特定の文字列をコンポーネント間で転送する悪意のあるゲストからトリガーされる可能性があります。ホストのパニックは、この状況下でゲストが制御できるため、WasmtimeにおけるDoS（サービス拒否）攻撃のベクターと見なされます。この脆弱性は24.0.7、36.0.7、42.0.2、および43.0.1で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月9日0:00
登録日	2026年4月21日10:46
最終更新日	2026年4月21日10:46

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Bytecode Alliance

wasmtime 24.0.7 未満

wasmtime 25.0.0 以上 36.0.7 未満

wasmtime 37.0.0 以上 42.0.2 未満

wasmtime 43.0.0 以上 43.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34942	https://www.cve.org/CVERecord?id=CVE-2026-34942
National Vulnerability Database (NVD)
2	CVE-2026-34942	https://nvd.nist.gov/vuln/detail/CVE-2026-34942

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-129	https://cwe.mitre.org/data/definitions/129.html

ベンダー情報

No	名前	URL
GitHub
1	Panic when transcoding misaligned component model UTF-16 strings Advisory bytecodealliance/wasmtime GitHub	https://github.com/bytecodealliance/wasmtime/security/advisories/GHSA-jxhv-7h78-9775

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:46

NVD脆弱性情報

CVE-2026-34942

概要	Wasmtime is a runtime for WebAssembly. Prior to 24.0.7, 36.0.7, 42.0.2, and 43.0.1, Wasmtime's implementation of transcoding strings into the Component Model's utf16 or latin1+utf16 encodings improperly verified the alignment of reallocated strings. This meant that unaligned pointers could be passed to the host for transcoding which would trigger a host panic. This panic is possible to trigger from malicious guests which transfer very specific strings across components with specific addresses. Host panics are considered a DoS vector in Wasmtime as the panic conditions are controlled by the guest in this situation. This vulnerability is fixed in 24.0.7, 36.0.7, 42.0.2, and 43.0.1.
公表日	2026年4月10日4:16
登録日	2026年4月15日11:34
最終更新日	2026年4月21日3:28

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*				24.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	25.0.0			36.0.7
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	37.0.0			42.0.2
cpe:2.3:a:bytecodealliance:wasmtime::::::rust::*	43.0.0			43.0.1