Een kritieke fout in Wasmtime kan leiden tot host-panics wanneer gebruik wordt gemaakt van de fd_renumber functie in het WASIp1 set van importfuncties. Dit probleem, geïdentificeerd als CVE-2025-53901, kan betekenen dat een kwaadwillende actor de host (embedder) kan verstoren door een zorgvuldig samengestelde reeks aanroepen naar deze functie. Hoewel het geen geheugenonveiligheid of heap-corruptie kan veroorzaken, wordt het als een denial-of-service gestart ogenblik een bestand wordt geopend na path_open.
De kwetsbaarheid betreft specifieke versies van Wasmtime: < 24.0.4, >= 33.0.0 en < 33.0.2, alsook >=34.0.0 en <34.0.2. Het probleem is opgelost in de patch-versies 24.0.4, 33.0.2, en 34.0.2.
Overzicht
Wasmtime’s runtime voor WebAssembly bevat een bug die kan leiden tot host-panics wanneer de fd_renumber functie op een onbedoelde manier wordt aangeroepen. Dit kan gebeuren wanneer de gast toegang heeft gekregen tot een vooraf geopend directory. De bug is geconcentreerd in Wasmtime’s wasmtime-wasi crate.
Aanbevelingen
- Update onmiddellijk naar de veilige patchede versies: 24.0.4, 33.0.2 of 34.0.2.
- Embedders die componenten gebruiken of geen gasttoegang verstrekken voor het openen van nieuwe bestanden zijn niet kwetsbaar. Anderen moeten upgrade plannen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53901?
Het is een kwetsbaarheid in de WebAssembly runtime Wasmtime die host-panics kan veroorzaken via misbruik van fd_renumber.
Welke systemen zijn kwetsbaar voor CVE-2025-53901?
Versies van Wasmtime kleiner dan 24.0.4, van 33.0.0 tot 33.0.1, en van 34.0.0 tot 34.0.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versies 24.0.4, 33.0.2 en 34.0.2 bevatten een patch tegen deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een gast laten crashen (host-panic), wat resulteert in een denial-of-service voor WebAssembly embedder.
