CVE-2026-43894

Nome do Software Vulnerável e Versões Afetadas jq versões anteriores a 1.8.2

Descrição Uma falha existe na função decNumberFromString() ao processar um literal numérico contendo 2147483646 dígitos. Isso faz com que a macro D2U() transborde durante a aritmética de inteiros com sinal, resultando em um valor negativo envolto que ignora as verificações de tamanho de alocação de heap. Consequentemente, a função utiliza um buffer de pilha de 30 bytes e grava aproximadamente 1,4 GiB de dados controlados pelo invasor em um deslocamento de 1,43 GiB abaixo do quadro da pilha.

Recomendações Atualize para uma versão posterior a 1.8.1.