CVE-2026-31963 HTSlib CRAM文件解析堆缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-31963

漏洞类型

缓冲区溢出

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

samtools/htslib

漏洞概述

CVE-2026-31963是HTSlib库中的一个高危安全漏洞，CVSS评分达到8.1分。HTSlib是一个用于读取和写入生物信息学文件格式的C语言库，而CRAM是一种压缩格式，用于存储DNA序列比对数据。该漏洞源于CRAM文件解码过程中对特征解析的off-by-one错误。具体而言，在处理超出CRAM记录序列范围的CRAM特征时，边界检查存在缺陷，导致可以向堆缓冲区末尾写入一个攻击者可控的字节，从而引发堆缓冲区溢出。攻击者可以通过构造恶意的CRAM文件触发此漏洞，用户一旦打开该文件，可能导致程序崩溃、堆内存数据被覆盖，甚至可能被利用来执行任意代码。此漏洞影响严重，官方已在版本1.23.1、1.22.2和1.21.1中修复，但目前没有已知的临时缓解措施。

技术细节

HTSlib库在处理CRAM格式文件时使用基于参考序列的压缩方法来移除冗余数据。CRAM格式存储的是参考序列中的位置以及与该位置参考序列的差异列表（称为特征序列）。漏洞发生在解码这些特征时，代码中存在一个off-by-one错误，导致对CRAM特征边界检查不当。当特征出现在CRAM记录序列范围之外时，程序仍会尝试处理并写入数据，最终造成向堆缓冲区边界外写入一个攻击者控制的字节。这种越界写入可以破坏堆内存结构，引发程序崩溃或可能被攻击者利用来控制程序执行流程。由于CRAM文件通常由生物信息学研究人员使用，攻击者可能通过分发恶意CRAM文件或诱骗用户打开特制文件来实施攻击。漏洞利用需要用户交互打开恶意文件，这降低了攻击的自动化程度，但仍然构成严重威胁。

攻击链分析

STEP 1

步骤1

攻击者创建恶意CRAM文件：攻击者构造一个特制的CRAM文件，该文件包含超出正常范围的CRAM特征数据，用于触发HTSlib库中的off-by-one边界检查错误

STEP 2

步骤2

文件分发：攻击者通过各种渠道（如恶意网站、钓鱼邮件、文件共享服务等）向目标用户分发该恶意CRAM文件

STEP 3

步骤3

用户交互打开文件：目标用户使用存在漏洞的HTSlib版本或使用该库的应用程序（如samtools）打开恶意CRAM文件

STEP 4

步骤4

漏洞触发与堆溢出：HTSlib在解析CRAM特征时，由于边界检查的off-by-one错误，将攻击者可控的一个字节写入堆缓冲区边界之外

STEP 5

步骤5

堆破坏与代码执行：越界写入破坏堆内存结构，可能导致程序崩溃或被攻击者利用来控制程序执行流程，最终实现任意代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-31963 PoC - Heap Buffer Overflow in HTSlib CRAM decoding
// This PoC demonstrates the off-by-one error in CRAM feature decoding
// Note: This is a conceptual PoC; actual exploitation requires specific CRAM file crafting

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// Simplified CRAM container structure for demonstration
typedef struct {
    uint32_t container_size;
    uint32_t feature_count;
    uint8_t* features;
    uint32_t buffer_size;
} cram_container_t;

// Function to simulate vulnerable CRAM feature decoding
int decode_cram_features(cram_container_t* container) {
    // Allocate buffer based on expected feature count
    uint8_t* heap_buffer = (uint8_t*)malloc(container->feature_count);
    if (!heap_buffer) {
        return -1;
    }
    
    // Vulnerable code: off-by-one error in boundary check
    // The condition should be "i < container->feature_count" not "i <= ..."
    for (uint32_t i = 0; i <= container->feature_count; i++) {
        // This write can overflow when i == container->feature_count
        heap_buffer[i] = container->features[i];  // Off-by-one write!
    }
    
    free(heap_buffer);
    return 0;
}

// Function to create malicious CRAM container
cram_container_t* create_malicious_cram() {
    cram_container_t* container = (cram_container_t*)malloc(sizeof(cram_container_t));
    container->feature_count = 10;
    container->buffer_size = 10;
    container->features = (uint8_t*)malloc(container->feature_count);
    
    // Fill with controlled data
    memset(container->features, 0x41, container->feature_count);
    
    return container;
}

int main() {
    printf("CVE-2026-31963 PoC - HTSlib CRAM Heap Overflow\n");
    printf("This PoC demonstrates the off-by-one error in CRAM feature decoding\n");
    
    cram_container_t* malicious = create_malicious_cram();
    if (malicious) {
        decode_cram_features(malicious);
        free(malicious);
    }
    
    return 0;
}

/*
To exploit this vulnerability:
1. Create a malicious CRAM file with crafted features
2. Ensure feature_count is set to trigger the off-by-one condition
3. Include shellcode or ROP chain in the overflow data
4. Overwrite adjacent heap structures to gain control

Note: Actual exploitation requires detailed knowledge of heap layout
and may need heap spraying techniques to increase reliability.
*/

影响范围

htslib < 1.21.1

htslib < 1.22.2

htslib < 1.23.1

防御指南

临时缓解措施

目前没有可用的临时缓解措施。建议用户尽快升级到HTSlib 1.23.1、1.22.2或1.21.1版本以修复此漏洞。在升级前，应避免打开来自不可信来源的CRAM文件，并确保使用杀毒软件扫描所有下载的文件。用户还应关注使用HTSlib的其他软件（如samtools）的安全更新，确保整个软件栈都得到及时更新。