漏洞详情

CVE ID: CVE-2024-27529 GHSA ID: GHSA-fmq6-4w57-2w3v 严重程度: 中等 (CVSS 6.9)

受影响包及版本:

• Swift (github.com/shareup/wasm-interpreter-apple): <= 0.8.1
• pip (pywasm3): <= 0.5.0
• cargo (wasm3 Rust crate): <= 0.3.1

描述: 在提交 139076a 的 wasm3 解释器中，Read_utf8 函数包含一个内存泄漏漏洞。

参考资料:

• https://nvd.nist.gov/vuln/detail/CVE-2024-27529
• wasm3/wasm3#462
• https://gist.github.com/haruki3hhh/ac70bd83b9c0ed1de6289d818488da78
• wasm3/wasm3#490
• wasm3/wasm3@526c125

发布日期: 2024年11月8日 (NVD) / 2024年11月9日 (GitHub Advisory Database) 最后更新: 2024年11月18日

CVSS 评分详情

总体评分: 6.9 (中等)

CVSS v4 基础指标:

1

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P

可利用性指标:

• 攻击向量 (AV): 网络
• 攻击复杂度 (AC): 低
• 攻击要求 (AT): 存在
• 所需权限 (PR): 无
• 用户交互 (UI): 无

受影响系统影响指标:

• 机密性 (VC): 无影响
• 完整性 (VI): 无影响
• 可用性 (VA): 高影响

后续系统影响指标:

• 机密性 (SC): 无影响
• 完整性 (SI): 无影响
• 可用性 (SA): 无影响

EPSS 分数: 0.045% (14th percentile)

关联弱点

CWE-125: 越界读取 该产品读取的数据超出了预期缓冲区的末尾或起始之前。

CWE-400: 未受控的资源消耗 该产品未能正确控制有限资源的分配和维护，从而使攻击者能够影响消耗的资源量，最终导致可用资源耗尽。