PT-2026-39719 · Jq · Jq

Thesmartshadow

·

Publicado

2026-05-11

·

Atualizado

2026-05-29

·

CVE-2026-43895

CVSS v3.1

4.4

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas jq versões 1.8.1 e anteriores
Descrição O jq aceita bytes NUL incorporados em caminhos de importação no nível da linguagem jq, mas posteriormente resolve esses caminhos usando operações de string C durante a busca de módulos e arquivos de dados. Isso resulta em uma divergência entre a string de importação lógica validada pelo código de política ou auditoria e o caminho real no disco que o software abre.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Exploit

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-158CWE-20

Identificadores relacionados

CVE-2026-43895
ECHO-98FD-319D-20DC
OESA-2026-2424
OESA-2026-2425
OESA-2026-2426
OESA-2026-2427
OESA-2026-2487
OPENSUSE-SU-2026:10850-1

Produtos afetados

Jq