CVE-2026-31971 in htslib
Zusammenfassung
von VulDB • 03.06.2026
HTSlib ist eine Bibliothek zum Lesen und Schreiben von bioinformatischen Dateiformaten. CRAM ist ein komprimiertes Format, das DNA-Sequenz-Ausrichtungdaten unter Verwendung verschiedener Codierungs- und Kompressionsmethoden speichert. Beim Lesen von Daten, die mit der Methode `BYTE_ARRAY_LEN` codiert sind, hat `cram_byte_array_len_decode()` nicht überprüft, ob die Menge der zu entpackenden Daten mit der Größe des Ausgabepuffers übereinstimmt, in dem sie gespeichert werden sollten. Je nach gelesener Datenserie kann dies entweder zu einem Heap- oder Stack-Overflow mit angreiferkontrollierten Bytes führen. Abhängig vom Datenstrom kann es entweder zu einem Heap-Buffer-Overflow oder einem Stack-Overflow kommen. Wenn ein Benutzer eine Datei öffnet, die zur Ausnutzung dieses Problems erstellt wurde, kann dies zum Absturz des Programms, zur Überschreibung von Datenstrukturen im Heap oder Stack auf nicht vom Programm erwartete Weise oder zur Änderung des Kontrollflusses des Programms führen. Es ist möglich, dies zur Ausführung beliebigen Codes zu nutzen. Die Versionen 1.23.1, 1.22.2 und 1.21.1 enthalten Korrekturen für dieses Problem. Es gibt keine Umgehungsmöglichkeit (Workaround) für dieses Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.