CVE-2026-33947 in jqlanginformação

Sumário

de VulDB • 12/06/2026

jq é um processador JSON de linha de comando. Nas versões 1.8.1 e anteriores, as funções jv_setpath(), jv_getpath() e delpaths_sorted() em src/jv_aux.c do jq utilizam recursão sem limites cuja profundidade é controlada pelo comprimento de uma matriz de caminho fornecida pela chamada, sem impor um limite máximo de profundidade. Um atacante pode fornecer um documento JSON contendo uma matriz plana com aproximadamente 65.000 inteiros (~200 KB) que, ao ser utilizado como argumento de caminho por um filtro jq confiável, esgota a pilha de chamadas C e causa o encerramento do processo devido a falha de segmentação (SIGSEGV). Esta vulnerabilidade é possível porque o limite existente MAX_PARSING_DEPTH (10.000) protege apenas o analisador JSON, não as operações de caminho em tempo de execução onde matrizes podem ser construídas programaticamente com comprimentos arbitrários. O impacto é uma negação de serviço (falha irrecuperável) que afeta qualquer aplicação ou serviço que processe entradas JSON não confiáveis através das funções internas setpath, getpath ou delpaths do jq. Este problema foi corrigido no commit fb59f1491058d58bdc3e8dd28f1773d1ac690a1f.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

14/04/2026

Moderação

aceite

Entrada

VDB-357233

CPE

pronto

EPSS

0.00234

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!