CVE-2026-33947 in jqlang
Sumário
de VulDB • 12/06/2026
jq é um processador JSON de linha de comando. Nas versões 1.8.1 e anteriores, as funções jv_setpath(), jv_getpath() e delpaths_sorted() em src/jv_aux.c do jq utilizam recursão sem limites cuja profundidade é controlada pelo comprimento de uma matriz de caminho fornecida pela chamada, sem impor um limite máximo de profundidade. Um atacante pode fornecer um documento JSON contendo uma matriz plana com aproximadamente 65.000 inteiros (~200 KB) que, ao ser utilizado como argumento de caminho por um filtro jq confiável, esgota a pilha de chamadas C e causa o encerramento do processo devido a falha de segmentação (SIGSEGV). Esta vulnerabilidade é possível porque o limite existente MAX_PARSING_DEPTH (10.000) protege apenas o analisador JSON, não as operações de caminho em tempo de execução onde matrizes podem ser construídas programaticamente com comprimentos arbitrários. O impacto é uma negação de serviço (falha irrecuperável) que afeta qualquer aplicação ou serviço que processe entradas JSON não confiáveis através das funções internas setpath, getpath ou delpaths do jq. Este problema foi corrigido no commit fb59f1491058d58bdc3e8dd28f1773d1ac690a1f.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.