WebAssembly Micro Runtime's `--addr-pool` option allows all IPv4 addresses when subnet mask is not specified 漏洞信息(CVE-2025-54126)

一、漏洞 CVE-2025-54126 基础信息

漏洞信息

                                        # WebAssembly Micro Runtime --addr-pool漏洞

## 概述

WebAssembly Micro Runtime (WAMR) 的 `iwasm` 包在版本 2.4.0 及以下中存在安全缺陷，该缺陷与 `--addr-pool` 参数处理方式有关。

## 影响版本

- 所有版本 2.4.0 以及更低版本

## 细节

在受影响的版本中，`iwasm` 通过 `--addr-pool` 指定 IPv4 地址时，未要求提供子网掩码。这导致系统默认接受所有 IP 地址连接，实际上忽略了用户的访问控制意图。

## 影响

- 服务可能意外暴露给所有外部连接
- 依赖 `--addr-pool` 实现 IP 限制的策略将被绕过
- 在生产环境中可能导致未授权访问
- 用户可能误以为不带子网掩码的 IP 配置是安全的

## 修复

- 该问题在版本 2.4.1 中被修复
- 修复内容包括强制在 `--addr-pool` 中使用带子网掩码的地址格式，以确保访问限制按预期生效

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

WebAssembly Micro Runtime's `--addr-pool` option allows all IPv4 addresses when subnet mask is not specified

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The WebAssembly Micro Runtime's (WAMR) iwasm package is the executable binary built with WAMR VMcore which supports WebAssembly System Interface (WASI) and command line interface. In versions 2.4.0 and below, iwasm uses --addr-pool with an IPv4 address that lacks a subnet mask, allowing the system to accept all IP addresses. This can unintentionally expose the service to all incoming connections and bypass intended access restrictions. Services relying on --addr-pool for restricting access by IP may unintentionally become open to all external connections. This may lead to unauthorized access in production deployments, especially when users assume that specifying an IP without a subnet mask implies a default secure configuration. This is fixed in version 2.4.1.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

将资源暴露给错误范围

来源：美国国家漏洞数据库 NVD

漏洞标题

WebAssembly Micro Runtime 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WebAssembly Micro Runtime（WAMR）是Bytecode Alliance开源的一种轻量级的独立 WebAssembly 运行时。具有占用空间小、高性能和高度可配置的功能，适用于从嵌入式、物联网、边缘到可信执行环境 (TEE)、智能合约、云原生等应用程序。 WebAssembly Micro Runtime 2.4.0及之前版本存在安全漏洞，该漏洞源于--addr-pool参数使用不当，可能导致绕过访问限制。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-54126 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-54126 的情报信息

标题： Release WAMR-2.4.1 · bytecodealliance/wasm-micro-runtime · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
标题： `--addr-pool` option allows all IPv4 addresses when subnet mask is not specified · Advisory · bytecodealliance/wasm-micro-runtime · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Merge commit from fork · bytecodealliance/wasm-micro-runtime@121232a · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-54126

四、漏洞 CVE-2025-54126 的评论

暂无评论

一、 漏洞 CVE-2025-54126 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-54126 的公开POC

三、漏洞 CVE-2025-54126 的情报信息

四、漏洞 CVE-2025-54126 的评论

发表评论

一、漏洞 CVE-2025-54126 基础信息