从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Race condition could lead to WebAssembly control-flow integrity and type safety violations - 发布者:alexcrichton - CVE编号:CVE-2024-47813 - CVSS评分:2.9/10 - 影响版本:19.0.0, 19.0.1, 19.0.2, 20.0.0, 21.0.0, 21.0.1, 23.0.0, 23.0.1, 23.0.2, 24.0.0, 25.0.0, 25.0.1 2. 漏洞影响: - 描述:在特定的并发事件顺序下,WebAssembly的控制流完整性(CFI)和类型安全可能会被违反。这可能由一个race condition引起,导致panic和潜在的类型注册表损坏。 - 影响范围:只有在使用了相同的wasmtime::Engine的模块在多个线程上创建和删除类型时受到影响。其他用户不受影响。 3. 漏洞利用: - 利用方式:需要在多个线程上创建和删除多个类型的实例,这些实例与同一个wasmtime::Engine关联。 4. 修复措施: - 已修复版本:21.0.2, 22.0.1, 23.0.3, 24.0.1, 25.0.2 5. 工作原理: - 漏洞原理:在创建和删除类型时,如果并发事件顺序不当,可能会导致类型注册表损坏,进而影响控制流完整性。 6. 参考: - 受影响的API:wasmtime::FuncType::new, wasmtime::ArrayType::new, 等等。 这些信息可以帮助理解漏洞的性质、影响范围以及修复措施。