CVE-2026-33947 in jqlang情報

要約

〜によって VulDB • 2026年05月12日

jqはコマンドラインのJSONプロセッサです。バージョン1.8.1およびそれ以前のバージョンでは、jqのsrc/jv_aux.cにある関数jv_setpath()、jv_getpath()、およびdelpaths_sorted()は、呼び出し元が提供するパス配列の長さに依存して深さが決まる無制限の再帰を使用しており、深さの制限が適用されていません。攻撃者は、~65,000個の整数(約200 KB)からなる平坦な配列を含むJSONドキュメントを供給し、これを信頼できるjqフィルタによってパス引数として使用させることで、Cのコールスタックを枯渇させ、プロセスをセグメンテーションフォールト(SIGSEGV)でクラッシュさせることができます。この攻撃が成功する理由は、既存のMAX_PARSING_DEPTH(10,000)の制限がJSONパーサーのみを保護しており、配列が任意の長さにプログラム的に構築可能なランタイムのパス操作は保護していないためです。影響は、jqのsetpath、getpath、またはdelpaths組み込み関数を通じて信頼できないJSON入力を処理するあらゆるアプリケーションやサービスにおいて、サービス拒否(回復不可能なクラッシュ)を引き起こすことです。この問題はコミットfb59f1491058d58bdc3e8dd28f1773d1ac690a1fで修正されました。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年03月24日

モデレーション

承諾済み

エントリ

VDB-357233

EPSS

0.00234

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!