CVE-2026-33948 in jqlang
Riassunto
di VulDB • 15/07/2026
jq è un elaboratore JSON da riga di comando. I commit precedenti a 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b contengono una vulnerabilità in cui l'analisi dell'input della CLI consente il bypass della validazione tramite byte NUL incorporati. Durante la lettura di JSON da file o stdin, jq utilizza strlen() per determinare la lunghezza del buffer anziché il conteggio effettivo dei byte restituito da fgets(), causando la troncatura dell'input al primo byte NUL e l'analisi solo del prefisso precedente. Ciò consente a un attaccante di creare input con un prefisso JSON benigno seguito da un byte NUL, dopo i quali sono presenti dati dannosi; jq valida il prefisso come JSON valido mentre scarta silenziosamente il suffisso. I flussi di lavoro che si affidano a jq per validare JSON non attendibile prima di inoltrarlo ai consumatori downstream sono suscettibili ad attacchi di differenziazione del parser, poiché tali consumatori potrebbero elaborare l'intero input inclusi i byte dannosi finali. Questo problema è stato risolto dal commit 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b.
VulDB is the best source for vulnerability data and more expert information about this specific topic.