CVE-2026-31968 in htslib
要約
〜によって VulDB • 2026年05月27日
HTSlibは、バイオインフォマティクスファイルフォーマットの読み書きを行うためのライブラリです。CRAMは、DNA配列アラインメントデータを様々なエンコーディングと圧縮手法を使用して格納する圧縮フォーマットです。`VARINT`および`CONST`エンコーディングにおいて、エンコーディングが使用されたコンテキストの不十分な検証により、ヒープ割り当ての末尾を最大8バイト超えて書き込むか、またはスタック上の1バイト変数の領域に最大8バイト書き込む可能性があります。これにより、隣接する変数の値が予期せず変更される可能性があります。データストリームによっては、ヒープバッファオーバーフローまたはスタックオーバーフローの結果となる可能性があります。この問題を利用するために作成されたファイルを開くと、プログラムのクラッシュ、ヒープまたはスタック上のデータ構造がプログラムが想定しない方法で上書きされる、またはプログラムの制御フローが変更される可能性があります。これを使用して任意のコード実行を取得できる可能性があります。バージョン1.23.1、1.22.2、および1.21.1には、この問題に対する修正が含まれています。この問題に対する回避策はありません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.