Vulnerabilidad en Wasmtime (CVE-2024-51745)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/11/2024
Última modificación:
06/11/2024
Descripción
Wasmtime es un entorno de ejecución rápido y seguro para WebAssembly. La implementación de la zona protegida del sistema de archivos de Wasmtime en Windows bloquea el acceso a nombres de archivos de dispositivos especiales como "COM1", "COM2", "LPT0", "LPT1", etc., pero no bloquea el acceso a los nombres de archivos de dispositivos especiales que utilizan dígitos en superíndice, como "COM¹", "COM²", "LPT?", "LPT¹", etc. Los programas Wasm no confiables a los que se les da acceso a cualquier directorio del sistema de archivos podrían omitir la zona protegida y acceder a los dispositivos a través de esos nombres de archivos de dispositivos especiales con dígitos en superíndice, y a través de ellos obtener acceso a dispositivos periféricos conectados a la computadora o recursos de red asignados a esos dispositivos. Esto puede incluir módems, impresoras, impresoras de red y cualquier otro dispositivo conectado a un puerto serial o paralelo, incluidos los puertos seriales USB emulados. Se han publicado parches para Wasmtime como 24.0.2, 25.0.3 y 26.0.1. Se recomienda a los usuarios de Wasmtime 23.0.x y versiones anteriores que actualicen a una de estas versiones parcheadas. No existen workarounds conocidos para este problema. Se recomienda a los usuarios de Windows afectados que actualicen.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA