关键漏洞信息 漏洞概述 漏洞ID: GHSA-243v-98vx-264h CVE ID: CVE-2026-27572 严重性: 中等 (CVSS v4 base score: 6.9/10) 影响 包: wasmtime (Rust) 受影响版本: - = 25.0.0, < 36.0.6 - 36.0.6, 40.0.4, 41.0.4 - 42.0.0 - 37.0.0, < 40.0.4 - 41.0.0, < 41.0.6 修复版本: - 24.0.6, 36.0.6, 40.0.4, 41.0.4 - 42.0.0 描述和影响 问题: 当向头信息集添加过多字段时,wasmtime在实施wasi:http/types.fields资源时容易导致崩溃。wasmtime在wasmtime-wasi-http包中的实现支持的数据结构在达到最大容量时会崩溃,且这种情况在wasmtime中未被优雅处理。wasmtime实施中的崩溃对嵌入者来说是一种拒绝服务攻击矢量,并被当作wasmtime中的安全漏洞处理。 修复措施 修复版本: 24.0.6, 36.0.6, 40.0.4, 41.0.4, 42.0.0修复此漏洞,并返回一个陷阱给客人而不是崩溃。 绕过方法 当前无已知的绕过方法,建议嵌入者更新至已修补的wasmtime版本。 引用 http::HeaderMap限制 CVSS v4 Base Metrics 攻击向量: 网络 攻击复杂度: 低 攻击要求: 存在 所需权限: 低 用户交互: 被动 系统影响指标 机密性影响: 无 完整性影响: 无 可用性影响: 高 弱点 CVE: 无特别标明的相关CVE。 漏洞发现者 识别者: alexcrichton 识别者角色: 其他