从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Wasmtime doesn't fully sandbox all the Windows device filenames - 发布者:sunfishcode - 漏洞编号:GHSA-c2f5-jxjv-2hh8 - 发布时间:4天前 2. 漏洞影响: - 受影响的版本:<= 24.0.1, 25.0.0, 25.0.1, 25.0.2, 26.0.0 - 已修复的版本:24.0.2, 25.0.3, 26.0.1 3. 漏洞描述: - Wasmtime的文件系统沙箱在Windows上阻止了对特殊设备文件名(如“COM1”、“COM2”、“LPT0”、“LPT1”等)的访问,但没有阻止对使用上标数字的特殊设备文件名的访问(如“COM1^”,“COM2^”,“LPT9”,“LPT1^”等)。不受信任的Wasm程序可以通过访问这些特殊设备文件名的上标数字,绕过沙箱并访问连接到计算机的外围设备,或映射到这些设备的网络资源,包括串行或并行端口的设备,如调制解调器、打印机、网络打印机等。 4. 修复措施: - 已发布修复版本:24.0.2, 25.0.3, 26.0.1 - 建议受影响的Windows用户升级到这些修复版本。 5. 参考资料: - Microsoft的特殊设备文件名文档 - ISO-8859-1 - 原始问题报告 6. 漏洞严重性: - 严重性:低 - CVSS v4基础指标:AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/SA:L 7. 漏洞编号: - CVE-2024-51745 8. 漏洞弱点: - CWE-67 - CWE-184 9. 贡献者: - 报告者:nathaniel-daniel