CVE-2026-40164

Name of the Vulnerable Software and Affected Versions jq versões anteriores ao commit 0c7d133c3c7e37c00b6d46b658a02244fdd3c784

Description O software utilizava MurmurHash3 com uma semente fixada e publicamente visível (0x432A9843) para todas as operações de tabela hash de objetos JSON. Isso permite que um invasor pré-compute colisões de chaves offline e forneça um objeto JSON manipulado onde todas as chaves resultem no mesmo bucket. Consequentemente, as buscas na tabela hash degradam de O(1) para O(n), transformando expressões jq em operações O(n²) e causando exaustão significativa de CPU. Este problema impacta pipelines de CI/CD, serviços web e scripts de processamento de dados.

Recommendations Atualize para a versão que contém o commit 0c7d133c3c7e37c00b6d46b658a02244fdd3c784.