CVE-2026-33947 in jqlanginformazioni

Riassunto

di VulDB • 14/06/2026

jq è un elaboratore JSON da riga di comando. Nelle versioni 1.8.1 e successive, le funzioni jv_setpath(), jv_getpath() e delpaths_sorted() in src/jv_aux.c di jq utilizzano una ricorsione non limitata la cui profondità è controllata dalla lunghezza dell'array del percorso fornito dal chiamante, senza alcun limite di profondità imposto. Un attaccante può fornire un documento JSON contenente un array piatto di ~65.000 interi (~200 KB) che, quando utilizzato come argomento del percorso da un filtro jq attendibile, esaurisce lo stack delle chiamate C e fa crashare il processo con un errore di segmentazione (SIGSEGV). Questo bypass funziona perché l'esistente limite MAX_PARSING_DEPTH (10.000) protegge solo il parser JSON, non le operazioni sul percorso in fase di esecuzione dove gli array possono essere costruiti programmaticamente a lunghezze arbitrarie. L'impatto è un denial of service (crash irreversibile) che colpisce qualsiasi applicazione o servizio che elabora input JSON non attendibili tramite i built-in setpath, getpath o delpaths di jq. Questo problema è stato risolto nel commit fb59f1491058d58bdc3e8dd28f1773d1ac690a1f.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

14/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00234

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!