CVE-2026-49839

Nome do Software Vulnerável e Versões Afetadas jq versões anteriores a 1.8.2

Description Em compilações com asserções desativadas, o comando jq --rawfile pode levar ao reuso de estado inválido e a uma gravação fora dos limites do heap (heap out-of-bounds write). Isso ocorre quando a função jv load file(raw=1) lê um arquivo controlado por um invasor e anexa repetidamente blocos a um acumulador de string. Se a função jv string append buf() retornar um erro de "String too long", o loop continua a anexar blocos subsequentes do arquivo ao objeto que já está inválido. Esse objeto inválido é então interpretado incorretamente como um objeto de string, resultando em um heap-buffer-overflow.

Recommendations Atualize para a versão 1.8.2.