CVE-2026-33947

Nome do Software Vulnerável e Versões Afetadas jq versões 1.8.1 e anteriores

Descrição Um processador JSON de linha de comando está sujeito a uma negação de serviço. As funções jv setpath(), jv getpath() e delpaths sorted() em src/jv aux.c utilizam recursão ilimitada, na qual a profundidade é controlada pelo comprimento de um array de caminho fornecido pelo chamador. Um invasor pode fornecer um documento JSON contendo um array plano de aproximadamente 65.000 inteiros que esgota a pilha de chamadas C, resultando em uma falha de segmentação (SIGSEGV) e no travamento do processo. Isso ocorre porque o limite MAX PARSING DEPTH protege apenas o analisador JSON e não as operações de caminho em tempo de execução.

Recomendações Aplicar a correção fornecida no commit fb59f1491058d58bdc3e8dd28f1773d1ac690a1f. Restringir o uso dos builtins setpath, getpath e delpaths ao processar entradas JSON não confiáveis para minimizar o risco de exploração.