CVE-2026-40164 in jqlanginformación

Resumen

por VulDB • 2026-05-25

jq es un procesador de JSON de línea de comandos. Antes del commit 0c7d133c3c7e37c00b6d46b658a02244fdd3c784, jq utilizaba MurmurHash3 con una semilla codificada y públicamente visible (0x432A9843) para todas las operaciones de tabla hash de objetos JSON, lo que permitía a un atacante precalcular colisiones de claves fuera de línea. Al proporcionar un objeto JSON manipulado (~100 KB) donde todas las claves tenían como resultado el mismo bucket, las búsquedas en la tabla hash se degradaron de O(1) a O(n), convirtiendo cualquier expresión jq en una operación O(n²) y causando un agotamiento significativo de la CPU. Esto afectó casos de uso comunes de jq, como pipelines de CI/CD, servicios web y scripts de procesamiento de datos, y fue mucho más práctico de explotar que las vulnerabilidades existentes de desbordamiento de heap, ya que solo requería una pequeña carga útil. Este problema ha sido corregido en el commit 0c7d133c3c7e37c00b6d46b658a02244fdd3c784.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-09

Divulgación

2026-04-14

Moderación

aceptado

Artículo

VDB-357224

CPE

listo

CWE

CWE-328 (confirmado)

CVSS

7.5 (CNA)

EPSS

0.00024

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40164
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40164
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40164/

◂ Anterior Visión De Conjunto Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!