CVE-2025-54126 (CNNVD-202507-3663)

MEDIUM
中文标题:
WebAssembly Micro Runtime 安全漏洞
英文标题:
WebAssembly Micro Runtime's `--addr-pool` option allows all IPv4 addresses when subnet mask is not specified
CVSS分数: 6.9
发布时间: 2025-07-29 21:52:36
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

WebAssembly Micro Runtime(WAMR)是Bytecode Alliance开源的一种轻量级的独立 WebAssembly 运行时。具有占用空间小、高性能和高度可配置的功能,适用于从嵌入式、物联网、边缘到可信执行环境 (TEE)、智能合约、云原生等应用程序。 WebAssembly Micro Runtime 2.4.0及之前版本存在安全漏洞,该漏洞源于--addr-pool参数使用不当,可能导致绕过访问限制。

英文描述:

The WebAssembly Micro Runtime's (WAMR) iwasm package is the executable binary built with WAMR VMcore which supports WebAssembly System Interface (WASI) and command line interface. In versions 2.4.0 and below, iwasm uses --addr-pool with an IPv4 address that lacks a subnet mask, allowing the system to accept all IP addresses. This can unintentionally expose the service to all incoming connections and bypass intended access restrictions. Services relying on --addr-pool for restricting access by IP may unintentionally become open to all external connections. This may lead to unauthorized access in production deployments, especially when users assume that specifying an IP without a subnet mask implies a default secure configuration. This is fixed in version 2.4.1.

CWE类型:
CWE-668
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
bytecodealliance wasm-micro-runtime < 2.4.1 - - cpe:2.3:a:bytecodealliance:wasm-micro-runtime:<_2.4.1:*:*:*:*:*:*:*
bytecodealliance webassembly_micro_runtime * - - cpe:2.3:a:bytecodealliance:webassembly_micro_runtime:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/bytecodealliance/wasm-micro-runtime/security/advisories/GHSA-vh64-mfvw-pxqp x_refsource_CONFIRM
cve.org
访问
https://github.com/bytecodealliance/wasm-micro-runtime/commit/121232a9957a069bbb04ebda053bdc72ab409e7a x_refsource_MISC
cve.org
访问
https://github.com/bytecodealliance/wasm-micro-runtime/releases/tag/WAMR-2.4.1 x_refsource_MISC
cve.org
访问
CVSS评分详情
4.0 (cna)
MEDIUM
6.9
CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N
机密性
LOW
完整性
NONE
可用性
NONE
后续系统影响 (Subsequent):
机密性
LOW
完整性
NONE
可用性
NONE
时间信息
发布时间:
2025-07-29 21:52:36
修改时间:
2025-07-30 18:12:22
创建时间:
2025-11-11 15:40:42
更新时间:
2025-11-11 16:00:02
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2025-54126 2025-11-11 15:23:28 2025-11-11 07:40:42
NVD nvd_CVE-2025-54126 2025-11-11 15:00:58 2025-11-11 07:48:29
CNNVD cnnvd_CNNVD-202507-3663 2025-11-11 15:12:52 2025-11-11 08:00:02
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 16:00:02
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202507-3663; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202507-3663
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:48:29
affected_products_count: 1 → 2; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 1 -> 2
  • data_sources: ['cve'] -> ['cve', 'nvd']