CVE-2026-40164 in jqlang
요약
\~에 의해 VulDB • 2026. 05. 09.
jq는 명령줄 기반 JSON 처리기입니다. 커밋 0c7d133c3c7e37c00b6d46b658a02244fdd3c784 이전 버전의 jq는 모든 JSON 객체 해시 테이블 연산에 대해 고정되어 있고 공개적으로 노출된 시드(0x432A9843)를 사용하는 MurmurHash3를 적용하고 있었습니다. 이로 인해 공격자가 오프라인에서 키 충돌을 사전 계산할 수 있었습니다. 모든 키가 동일한 버킷으로 해시되는 약 100KB 크기의 조작된 JSON 객체를 제공하면, 해시 테이블 조회 성능이 O(1)에서 O(n)으로 저하되어 모든 jq 표현식이 O(n²) 연산으로 전환되고 심각한 CPU 고갈을 초래했습니다. 이 취약점은 CI/CD 파이프라인, 웹 서비스, 데이터 처리 스크립트 등 일반적인 jq 사용 사례에 영향을 미쳤으며, 작은 페이로드만 필요했기 때문에 기존 heap overflow 문제보다 실제 공격이 훨씬 용이했습니다. 이 문제는 커밋 0c7d133c3c7e37c00b6d46b658a02244fdd3c784에서 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.