PT-2026-39711 · Jq · Jq

Califmonk

Publicado

2026-05-11

Atualizado

2026-06-03

CVE-2026-41257

CVSS v4.0

7.3

Alta

Vetor

AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas jq versões anteriores a 1.8.2

Descrição A pilha de dados da VM de bytecode rastreia seu tamanho de alocação usando um inteiro assinado. Quando a pilha cresce além de aproximadamente 1 GiB por meio de forks de geradores profundamente aninhados, a aritmética de dobra sofre um estouro (overflow). Esse valor envolto é então passado para realloc e posteriormente usado em uma operação memmove com offsets influenciados por um invasor.

Recomendações Atualize para uma versão posterior a 1.8.1.

Exploit

Correção

Integer Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190CWE-787

Identificadores relacionados

CVE-2026-41257

ECHO-5CB6-067B-5460

OESA-2026-2424

OESA-2026-2425

OESA-2026-2426

OESA-2026-2427

OESA-2026-2487

OPENSUSE-SU-2026:10850-1

PT-2026-39711 · Jq · Jq

CVE-2026-41257

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 41