Katalog CVE

CVE-2026-31966

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

HTSlib to biblioteka do odczytu i zapisu formatów plików bioinformatycznych. W wyniku niewystarczającej walidacji danych cech, funkcja `cram_decode_seq()` może skopiować dane spoza zakresu przechowywanego odniesienia, co prowadzi do wycieku danych.

Ocena ryzyka

Organizacja może być narażona na wyciek wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. Potencjalne wykorzystanie tej podatności może skutkować poważnymi konsekwencjami prawnymi i reputacyjnymi.

Rekomendacja

Zaleca się aktualizację biblioteki HTSlib do najnowszej wersji, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa aplikacji korzystających z tej biblioteki.

Oryginalny opis (angielski, źródło NVD)

HTSlib is a library for reading and writing bioinformatics file formats. CRAM is a compressed format which stores DNA sequence alignment data. As one method of removing redundant data, CRAM uses reference-based compression so that instead of storing the full sequence for each alignment record it stores a location in an external reference sequence along with a list of differences to the reference at that location as a sequence of "features". When decoding CRAM records, the reference data is stored in a char array, and parts matching the alignment record sequence are copied over as necessary. Due to insufficient validation of the feature data series, it was possible to make the `cram_decode_seq()` function copy data from either before the start, or after the end of the stored reference either into the buffer used to store the output sequence for the cram record, or into the buffer used to build the SAM `MD` tag. This allowed arbitrary data to be leaked to the calling function. This bug

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS