关键漏洞信息 漏洞ID: GHSA-4chv-4c6w-w254 CVE ID: CVE-2026-26267 CVE Severity: High (7.5/10) CVE Base Metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: None - Scope: Unchanged - Confidentiality: None - Integrity: High - Availability: None 影响 宏在名称冲突时调用了固有函数而不是特质函数,导致WASM导出的入口点在同时满足两个条件时调用错误的函数。如果特质版本包含重要的安全检查,而固有版本没有,那么这些检查会被绕过。 受影响的版本和修复的版本 受影响的版本: - 25.0.0 to 25.1.0 - 23.0.0 to 23.5.1 - 22.0.0 to 22.0.9 修复的版本: - 25.1.1 - 23.5.2 - 22.0.10 补丁 问题在 版本25.1.1中得到修复。该修复改变了生成的调用,确保Rust解析为与特质关联的函数,无论是否存在同名的固有函数。 工作原理 如果升级不是立即可能的,合同开发人员可以通过确保合同类型上的任何固有关联函数与特质实现中的任何函数不共享名称来避免此问题。重命名或删除冲突的固有函数将消除歧义,并导致宏生成的代码正确解析为特质函数。