Er is een ernstige kwetsbaarheid ontdekt in de WebAssembly Micro Runtime, aangeduid met CVE-2025-54126. De optie --addr-pool accepteert alle IPv4-adressen wanneer een subnetmasker niet is opgegeven. Dit kan leiden tot onbedoelde blootstelling van services waarmee alle binnenkomende verbindingen worden geaccepteerd, zonder de bedoelde toegangsrestricties.
Versies van iwasm van 2.4.0 en ouder zijn kwetsbaar en kunnen daardoor ongeautoriseerde toegang krijgen in productieomgevingen.
Overzicht
De WebAssembly Micro Runtime (WAMR) omvat het uitvoerbare iwasm pakket, dat WebAssembly System Interface (WASI) en een commandoregelinterface ondersteunt. Het probleem ontstaat doordat de optie --addr-pool geen subnetmasker vereist, waardoor een foutieve configuratie kan ontstaan die alle IP-adressen toestaat.
Aanbevelingen
- Werk bij naar versie 2.4.1 van de WebAssembly Micro Runtime om dit beveiligingsprobleem te verhelpen.
- Zorg ervoor dat uw configuratie van
--addr-poolaltijd een subnetmasker bevat om onbedoelde toegankelijkheid te voorkomen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54126?
Het is een kwetsbaarheid in de WAMR iwasm implementatie waarbij een ontbrekend subnetmasker bij --addr-pool kan leiden tot onbedoelde blootstelling van de service.
Welke systemen zijn kwetsbaar voor CVE-2025-54126?
Alle systemen die versies van WAMR gebruiken ouder dan 2.4.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het probleem is opgelost in versie 2.4.1 van de WebAssembly Micro Runtime.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk ongeautoriseerde toegang verkrijgen tot de kwetsbare system services die ten onrechte als beveiligd werden aangenomen.
