Vulnerability Details CVE-2026-8257
A vulnerability was detected in WebAssembly Binaryen up to 117. This issue affects the function IRBuilder::makeBrOn of the file src/wasm/wasm-ir-builder.cpp of the component BrOn Parser. Performing a manipulation results in reachable assertion. The attack needs to be approached locally. The exploit is now public and may be used. The patch is named 1251efbc1ea471c1311d2726b2bbe061ff2a291c. It is suggested to install a patch to address this issue.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 7.7%
CVSS Severity
CVSS v3 Score 3.3
CVSS v2 Score 1.7
References
- https://github.com/HackC0der/CVE-Repos/blob/main/wasm-binaryen/Assertion_Failure_isRef_wasm_Type_getHeapType_commit_3ef8d19
- https://github.com/WebAssembly/binaryen/
- https://github.com/WebAssembly/binaryen/commit/1251efbc1ea471c1311d2726b2bbe061ff2a291c
- https://github.com/WebAssembly/binaryen/issues/8633
- https://github.com/WebAssembly/binaryen/pull/8635
- https://vuldb.com/submit/809552
- https://vuldb.com/vuln/362554
- https://vuldb.com/vuln/362554/cti
Products affected by CVE-2026-8257
-
cpe:2.3:a:webassembly:binaryen:1
-
cpe:2.3:a:webassembly:binaryen:1.36.10
-
cpe:2.3:a:webassembly:binaryen:1.36.11
-
cpe:2.3:a:webassembly:binaryen:1.36.12
-
cpe:2.3:a:webassembly:binaryen:1.36.13
-
cpe:2.3:a:webassembly:binaryen:1.36.14
-
cpe:2.3:a:webassembly:binaryen:1.36.2
-
cpe:2.3:a:webassembly:binaryen:1.36.3
-
cpe:2.3:a:webassembly:binaryen:1.36.4
-
cpe:2.3:a:webassembly:binaryen:1.36.5
-
cpe:2.3:a:webassembly:binaryen:1.36.6
-
cpe:2.3:a:webassembly:binaryen:1.36.7
-
cpe:2.3:a:webassembly:binaryen:1.36.8
-
cpe:2.3:a:webassembly:binaryen:1.36.9
-
cpe:2.3:a:webassembly:binaryen:1.37.0
-
cpe:2.3:a:webassembly:binaryen:1.37.1
-
cpe:2.3:a:webassembly:binaryen:1.37.10
-
cpe:2.3:a:webassembly:binaryen:1.37.11
-
cpe:2.3:a:webassembly:binaryen:1.37.12
-
cpe:2.3:a:webassembly:binaryen:1.37.13
-
cpe:2.3:a:webassembly:binaryen:1.37.14
-
cpe:2.3:a:webassembly:binaryen:1.37.15
-
cpe:2.3:a:webassembly:binaryen:1.37.16
-
cpe:2.3:a:webassembly:binaryen:1.37.17
-
cpe:2.3:a:webassembly:binaryen:1.37.18
-
cpe:2.3:a:webassembly:binaryen:1.37.19
-
cpe:2.3:a:webassembly:binaryen:1.37.2
-
cpe:2.3:a:webassembly:binaryen:1.37.20
-
cpe:2.3:a:webassembly:binaryen:1.37.21
-
cpe:2.3:a:webassembly:binaryen:1.37.22
-
cpe:2.3:a:webassembly:binaryen:1.37.23
-
cpe:2.3:a:webassembly:binaryen:1.37.24
-
cpe:2.3:a:webassembly:binaryen:1.37.25
-
cpe:2.3:a:webassembly:binaryen:1.37.26
-
cpe:2.3:a:webassembly:binaryen:1.37.27
-
cpe:2.3:a:webassembly:binaryen:1.37.28
-
cpe:2.3:a:webassembly:binaryen:1.37.29
-
cpe:2.3:a:webassembly:binaryen:1.37.3
-
cpe:2.3:a:webassembly:binaryen:1.37.30
-
cpe:2.3:a:webassembly:binaryen:1.37.31
-
cpe:2.3:a:webassembly:binaryen:1.37.32
-
cpe:2.3:a:webassembly:binaryen:1.37.33
-
cpe:2.3:a:webassembly:binaryen:1.37.34
-
cpe:2.3:a:webassembly:binaryen:1.37.35
-
cpe:2.3:a:webassembly:binaryen:1.37.36
-
cpe:2.3:a:webassembly:binaryen:1.37.37
-
cpe:2.3:a:webassembly:binaryen:1.37.38
-
cpe:2.3:a:webassembly:binaryen:1.37.39
-
cpe:2.3:a:webassembly:binaryen:1.37.4
-
cpe:2.3:a:webassembly:binaryen:1.37.40
-
cpe:2.3:a:webassembly:binaryen:1.37.5
-
cpe:2.3:a:webassembly:binaryen:1.37.6
-
cpe:2.3:a:webassembly:binaryen:1.37.7
-
cpe:2.3:a:webassembly:binaryen:1.37.8
-
cpe:2.3:a:webassembly:binaryen:1.37.9
-
cpe:2.3:a:webassembly:binaryen:1.38.0
-
cpe:2.3:a:webassembly:binaryen:1.38.1
-
cpe:2.3:a:webassembly:binaryen:1.38.10
-
cpe:2.3:a:webassembly:binaryen:1.38.11
-
cpe:2.3:a:webassembly:binaryen:1.38.12
-
cpe:2.3:a:webassembly:binaryen:1.38.13
-
cpe:2.3:a:webassembly:binaryen:1.38.14
-
cpe:2.3:a:webassembly:binaryen:1.38.15
-
cpe:2.3:a:webassembly:binaryen:1.38.16
-
cpe:2.3:a:webassembly:binaryen:1.38.17
-
cpe:2.3:a:webassembly:binaryen:1.38.18
-
cpe:2.3:a:webassembly:binaryen:1.38.19
-
cpe:2.3:a:webassembly:binaryen:1.38.2
-
cpe:2.3:a:webassembly:binaryen:1.38.20
-
cpe:2.3:a:webassembly:binaryen:1.38.21
-
cpe:2.3:a:webassembly:binaryen:1.38.22
-
cpe:2.3:a:webassembly:binaryen:1.38.23
-
cpe:2.3:a:webassembly:binaryen:1.38.24
-
cpe:2.3:a:webassembly:binaryen:1.38.25
-
cpe:2.3:a:webassembly:binaryen:1.38.26
-
cpe:2.3:a:webassembly:binaryen:1.38.27
-
cpe:2.3:a:webassembly:binaryen:1.38.28
-
cpe:2.3:a:webassembly:binaryen:1.38.29
-
cpe:2.3:a:webassembly:binaryen:1.38.3
-
cpe:2.3:a:webassembly:binaryen:1.38.30
-
cpe:2.3:a:webassembly:binaryen:1.38.31
-
cpe:2.3:a:webassembly:binaryen:1.38.32
-
cpe:2.3:a:webassembly:binaryen:1.38.4
-
cpe:2.3:a:webassembly:binaryen:1.38.47
-
cpe:2.3:a:webassembly:binaryen:1.38.48
-
cpe:2.3:a:webassembly:binaryen:1.38.5
-
cpe:2.3:a:webassembly:binaryen:1.38.6
-
cpe:2.3:a:webassembly:binaryen:1.38.7
-
cpe:2.3:a:webassembly:binaryen:1.38.8
-
cpe:2.3:a:webassembly:binaryen:1.38.9
-
cpe:2.3:a:webassembly:binaryen:1.39.1
-
cpe:2.3:a:webassembly:binaryen:10
-
cpe:2.3:a:webassembly:binaryen:100
-
cpe:2.3:a:webassembly:binaryen:101
-
cpe:2.3:a:webassembly:binaryen:102
-
cpe:2.3:a:webassembly:binaryen:103
-
cpe:2.3:a:webassembly:binaryen:104
-
cpe:2.3:a:webassembly:binaryen:105
-
cpe:2.3:a:webassembly:binaryen:106
-
cpe:2.3:a:webassembly:binaryen:107
-
cpe:2.3:a:webassembly:binaryen:108
-
cpe:2.3:a:webassembly:binaryen:109
-
cpe:2.3:a:webassembly:binaryen:11
-
cpe:2.3:a:webassembly:binaryen:110
-
cpe:2.3:a:webassembly:binaryen:111
-
cpe:2.3:a:webassembly:binaryen:112
-
cpe:2.3:a:webassembly:binaryen:113
-
cpe:2.3:a:webassembly:binaryen:114
-
cpe:2.3:a:webassembly:binaryen:115
-
cpe:2.3:a:webassembly:binaryen:116
-
cpe:2.3:a:webassembly:binaryen:117
-
cpe:2.3:a:webassembly:binaryen:12
-
cpe:2.3:a:webassembly:binaryen:13
-
cpe:2.3:a:webassembly:binaryen:14
-
cpe:2.3:a:webassembly:binaryen:15
-
cpe:2.3:a:webassembly:binaryen:16
-
cpe:2.3:a:webassembly:binaryen:17
-
cpe:2.3:a:webassembly:binaryen:18
-
cpe:2.3:a:webassembly:binaryen:19
-
cpe:2.3:a:webassembly:binaryen:2
-
cpe:2.3:a:webassembly:binaryen:20
-
cpe:2.3:a:webassembly:binaryen:21
-
cpe:2.3:a:webassembly:binaryen:22
-
cpe:2.3:a:webassembly:binaryen:23
-
cpe:2.3:a:webassembly:binaryen:24
-
cpe:2.3:a:webassembly:binaryen:25
-
cpe:2.3:a:webassembly:binaryen:26
-
cpe:2.3:a:webassembly:binaryen:27
-
cpe:2.3:a:webassembly:binaryen:28
-
cpe:2.3:a:webassembly:binaryen:29
-
cpe:2.3:a:webassembly:binaryen:3
-
cpe:2.3:a:webassembly:binaryen:30
-
cpe:2.3:a:webassembly:binaryen:31
-
cpe:2.3:a:webassembly:binaryen:32
-
cpe:2.3:a:webassembly:binaryen:33
-
cpe:2.3:a:webassembly:binaryen:34
-
cpe:2.3:a:webassembly:binaryen:35
-
cpe:2.3:a:webassembly:binaryen:36
-
cpe:2.3:a:webassembly:binaryen:37
-
cpe:2.3:a:webassembly:binaryen:38
-
cpe:2.3:a:webassembly:binaryen:39
-
cpe:2.3:a:webassembly:binaryen:4
-
cpe:2.3:a:webassembly:binaryen:40
-
cpe:2.3:a:webassembly:binaryen:41
-
cpe:2.3:a:webassembly:binaryen:42
-
cpe:2.3:a:webassembly:binaryen:43
-
cpe:2.3:a:webassembly:binaryen:44
-
cpe:2.3:a:webassembly:binaryen:45
-
cpe:2.3:a:webassembly:binaryen:46
-
cpe:2.3:a:webassembly:binaryen:47
-
cpe:2.3:a:webassembly:binaryen:48
-
cpe:2.3:a:webassembly:binaryen:49
-
cpe:2.3:a:webassembly:binaryen:5
-
cpe:2.3:a:webassembly:binaryen:50
-
cpe:2.3:a:webassembly:binaryen:51
-
cpe:2.3:a:webassembly:binaryen:52
-
cpe:2.3:a:webassembly:binaryen:53
-
cpe:2.3:a:webassembly:binaryen:54
-
cpe:2.3:a:webassembly:binaryen:55
-
cpe:2.3:a:webassembly:binaryen:56
-
cpe:2.3:a:webassembly:binaryen:57
-
cpe:2.3:a:webassembly:binaryen:58
-
cpe:2.3:a:webassembly:binaryen:59
-
cpe:2.3:a:webassembly:binaryen:6
-
cpe:2.3:a:webassembly:binaryen:60
-
cpe:2.3:a:webassembly:binaryen:61
-
cpe:2.3:a:webassembly:binaryen:62
-
cpe:2.3:a:webassembly:binaryen:63
-
cpe:2.3:a:webassembly:binaryen:64
-
cpe:2.3:a:webassembly:binaryen:65
-
cpe:2.3:a:webassembly:binaryen:66
-
cpe:2.3:a:webassembly:binaryen:67
-
cpe:2.3:a:webassembly:binaryen:68
-
cpe:2.3:a:webassembly:binaryen:69
-
cpe:2.3:a:webassembly:binaryen:7
-
cpe:2.3:a:webassembly:binaryen:70
-
cpe:2.3:a:webassembly:binaryen:71
-
cpe:2.3:a:webassembly:binaryen:72
-
cpe:2.3:a:webassembly:binaryen:73
-
cpe:2.3:a:webassembly:binaryen:74
-
cpe:2.3:a:webassembly:binaryen:75
-
cpe:2.3:a:webassembly:binaryen:76
-
cpe:2.3:a:webassembly:binaryen:77
-
cpe:2.3:a:webassembly:binaryen:78
-
cpe:2.3:a:webassembly:binaryen:79
-
cpe:2.3:a:webassembly:binaryen:8
-
cpe:2.3:a:webassembly:binaryen:80
-
cpe:2.3:a:webassembly:binaryen:81
-
cpe:2.3:a:webassembly:binaryen:82
-
cpe:2.3:a:webassembly:binaryen:83
-
cpe:2.3:a:webassembly:binaryen:84
-
cpe:2.3:a:webassembly:binaryen:85
-
cpe:2.3:a:webassembly:binaryen:86
-
cpe:2.3:a:webassembly:binaryen:87
-
cpe:2.3:a:webassembly:binaryen:88
-
cpe:2.3:a:webassembly:binaryen:89
-
cpe:2.3:a:webassembly:binaryen:9
-
cpe:2.3:a:webassembly:binaryen:90
-
cpe:2.3:a:webassembly:binaryen:91
-
cpe:2.3:a:webassembly:binaryen:92
-
cpe:2.3:a:webassembly:binaryen:93
-
cpe:2.3:a:webassembly:binaryen:94
-
cpe:2.3:a:webassembly:binaryen:95
-
cpe:2.3:a:webassembly:binaryen:96
-
cpe:2.3:a:webassembly:binaryen:97
-
cpe:2.3:a:webassembly:binaryen:98
-
cpe:2.3:a:webassembly:binaryen:99