CVE-2026-31971 in htslib
要約
〜によって VulDB • 2026年06月03日
HTSlibは、バイオインフォマティクスファイルフォーマットの読み書きを行うためのライブラリです。CRAMは、DNA配列アラインメントデータを様々なエンコーディングと圧縮手法を用いて格納する圧縮形式です。`BYTE_ARRAY_LEN`メソッドを使用してエンコードされたデータを読み込む際、`cram_byte_array_len_decode()`関数は、展開されるデータの量がそれを保存すべき出力バッファのサイズと一致していることを検証しませんでした。読み込まれるデータ系列によっては、攻撃者が制御可能なバイトを用いたヒープオーバーフローまたはスタックオーバーフローを引き起こす可能性があります。データストリームに応じて、これはヒープバッファーオーバーフローまたはスタックオーバーフローの結果となります。この問題を利用するために作成されたファイルを開くと、プログラムのクラッシュ、プログラムが想定していない方法でのヒープやスタック上のデータ構造の上書き、あるいはプログラムの制御フローの変更につながる恐れがあります。これを用いて任意のコード実行を得られる可能性があります。バージョン1.23.1、1.22.2および1.21.1にはこの問題に対する修正が含まれています。本問題に対する回避策はありません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.