Katalog CVE

CVE-2026-40612

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

jq to narzędzie do przetwarzania JSON w wierszu poleceń. W wersji 1.8.1 i wcześniejszych, funkcja jv_contains rekurencyjnie przeszukuje zagnieżdżone tablice/obiekty bez limitu głębokości, co może prowadzić do wyczerpania stosu C przy odpowiednio zagnieżdżonej strukturze wejściowej.

Ocena ryzyka

Wyczerpanie stosu C może prowadzić do awarii aplikacji, co stwarza ryzyko przestoju w działaniu systemów korzystających z jq. Organizacje mogą być narażone na problemy z dostępnością usług.

Rekomendacja

Zaleca się aktualizację jq do najnowszej wersji, aby uniknąć problemów związanych z nieograniczoną głębokością rekurencji. Należy również monitorować użycie jq w aplikacjach, aby zidentyfikować potencjalne zagrożenia.

Oryginalny opis (angielski, źródło NVD)

jq is a command-line JSON processor. In 1.8.1 and earlier, jv_contains recurses into nested arrays/objects with no depth limit. With a sufficiently nested input structure (built programmatically with reduce, since the JSON parser caps at depth 10000), the C stack is exhausted.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS