Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-54786

PUBLISHED 01.07.2026

CNA: GitHub_M

Wasmtime: Leak in WASIp1 `fd_renumber` implementation

Обновлено: 01.07.2026
Wasmtime is a runtime for WebAssembly. All versions prior to 24.0.10; versions 25.0.0 through those before 36.0.11; versions 37.0.0 through those before 44.0.3; and versions 45.0.0 and 45.0.1 contain a native implementation of WASIp1 which suffers from a leak in the fd_renumber function where the file descriptor being renumbered to is not properly closed. Wasmtime's implementation erroneously only updated the table of descriptors for WASIp1 and didn't update the underlying table of descriptors used by the host. This behavior means that while fd_renumber works correctly from a guest's perspective it ends up leaking resources in the host that aren't cleaned up until the corresponding Store is destroyed. In a loop, guests can use fd_renumber to cause hosts to exhaust both resources and file descriptors. This bug only affects the native implementation of WASIp1, meaning that only runtimes which load core wasm modules and expose fd_renumber are affected. Runtimes are additionally only affected if they expose the ability to acquire a file descriptor, such as opening a file. For runtimes that deny access to files they are unaffected. This issue has been fixed in versions 24.0.10, 36.0.11, 44.0.3, and 45.0.2.

CWE

Идентификатор Описание
CWE-400 The product does not properly control the allocation and maintenance of a limited resource.
CWE-772 The product does not release a resource after its effective lifetime has ended, i.e., after the resource is no longer needed.

CVSS

Оценка Severity Версия Базовый вектор
2.3 LOW 4.0 CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L

Доп. Информация

Product Status

wasmtime
Product: wasmtime
Vendor: bytecodealliance
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии < 24.0.10 affected
Наблюдалось в версии >= 25.0.0, < 36.0.11 affected
Наблюдалось в версии >= 37.0.0, < 44.0.3 affected
Наблюдалось в версии >= 45.0.0, < 45.0.2 affected
 

Ссылки

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.