Ciberseguridad·6 min read

Zero-day crítico encontrado en runtimes populares de WebAssembly

El bug afecta a aislamiento sandbox y ya tiene parches disponibles. Repasamos el alcance y el plan de mitigación.

Dax Reyes
··9,120 vistas

Un investigador independiente reportó la vulnerabilidad hace 72 horas a través del programa de divulgación responsable de Bytecode Alliance. Hoy, con el parche ya disponible, repasamos qué hace exactamente, a quién afecta y cómo mitigarlo si todavía no has actualizado.

WebAssembly zero-day sandbox

El bug, registrado como CVE-2026-3179, afecta a Wasmtime en versiones anteriores a la 18.0.3 y a Wasmer antes de la 4.3.1. Ambos runtimes son ampliamente utilizados en entornos de servidor para ejecutar módulos WASM de forma aislada, y ese aislamiento es precisamente lo que este bug compromete.

Qué hace el bug

El fallo está en la validación de índices de tabla durante la compilación JIT. Bajo ciertas condiciones con módulos WASM malformados, un atacante puede conseguir que el runtime escriba fuera de los límites del sandbox de memoria asignado al módulo.

En la práctica, esto significa que un módulo WASM malicioso podría leer o escribir memoria del proceso anfitrión — rompiendo el aislamiento que es la promesa central de WebAssembly como plataforma de plugins y ejecución segura de código no confiable.

# Verificar versión de Wasmtime
wasmtime --version
# wasmtime 18.0.3 es la versión segura mínima

# Actualizar vía cargo
cargo install wasmtime-cli

Quién está en riesgo

El vector de ataque requiere que el runtime ejecute módulos WASM provenientes de fuentes no confiables. Los casos más expuestos son:

  • Plataformas de plugins que permiten a terceros subir módulos WASM
  • CDNs y edge runtimes que ejecutan código de usuario en WASM
  • Sandboxes de evaluación de código en entornos educativos o de CI

Si usas Wasmtime o Wasmer exclusivamente para ejecutar tu propio código compilado, el riesgo es bajo pero la actualización sigue siendo recomendada.

Mitigación inmediata

Actualizar a Wasmtime 18.0.3 o Wasmer 4.3.1 es la única mitigación completa. No hay workaround de configuración para este bug específico. El parche corrige la validación de índices en el compilador Cranelift que usa Wasmtime y en el motor Singlepass de Wasmer.

Bytecode Alliance ha publicado un advisory completo con los hashes de commits afectados para quienes necesiten hacer backport a versiones antiguas por restricciones de entorno.

TAGS

#webassembly#cve#sandbox
Compartir

Dax Reyes

Sistemas y Kernel

// Relacionados

Zero-day crítico encontrado en runtimes populares de WebAssembly — SYNTHNODE