Vulnerabilities ›

CVE-2026-40612

Medium ⚡ Exploit Available

CWE-674 — Weakness Type

                    Published: May 11, 2026                      ·  Modified: May 14, 2026                      ·  Source: NVD                

CVSS v3

5.5

🔗 NVD Official

📄 Description (English)

jq is a command-line JSON processor. In 1.8.1 and earlier, jv_contains recurses into nested arrays/objects with no depth limit. With a sufficiently nested input structure (built programmatically with reduce, since the JSON parser caps at depth 10000), the C stack is exhausted.

🤖 AI Executive Summary

jq versions 1.8.1 and earlier contain a stack exhaustion vulnerability in the jv_contains function when processing deeply nested JSON structures. Attackers can cause denial of service by crafting malicious JSON inputs that exhaust the C stack through unbounded recursion.

📄 Description (Arabic)

تحتوي دالة jv_contains في jq على ثغرة استنزاف المكدس تسمح بمعالجة الهياكل المتداخلة بعمق غير محدود. يمكن للمهاجمين استغلال هذه الثغرة لإنشاء حالات رفض الخدمة من خلال مدخلات JSON المصممة بعناية. هذا يؤثر على جميع الأنظمة التي تعتمد على jq لمعالجة البيانات.

🤖 ملخص تنفيذي (AI)

jq إصدارات 1.8.1 والإصدارات الأقدم تحتوي على ثغرة استنزاف المكدس في دالة jv_contains عند معالجة هياكل JSON المتداخلة بعمق. يمكن للمهاجمين التسبب في رفض الخدمة من خلال إنشاء مدخلات JSON ضارة تستنزف مكدس C من خلال العودية غير المحدودة.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 01:27

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom government banking energy

🎯 MITRE ATT&CK Techniques

T1499.004 T1657

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade jq to version 1.8.2 or later. Implement input validation to limit JSON nesting depth. Deploy rate limiting and resource monitoring for JSON processing operations. Consider sandboxing jq execution environments.

🔧 خطوات المعالجة (العربية)

قم بترقية jq إلى الإصدار 1.8.2 أو أحدث. قم بتنفيذ التحقق من صحة المدخلات لتحديد عمق تداخل JSON. قم بنشر تحديد معدل المراقبة والموارد لعمليات معالجة JSON. فكر في عزل بيئات تنفيذ jq.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5.1 PR.DS-6.1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1

🔗 References & Sources 2

🔗

https://github.com/jqlang/jq/security/advisories/GHSA-r7m6-x9c7-h69j

security-advisories@github.com

Exploit Mitigation Vendor Advisory

🔗

https://github.com/jqlang/jq/security/advisories/GHSA-r7m6-x9c7-h69j

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Mitigation Vendor Advisory

📦 Affected Products / CPE 1 entries

jqlang:jq

📊 CVSS Score

5.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 Quick Facts

Severity Medium

CVSS Score5.5

CWECWE-674

EPSS0.01%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-11

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

exploit-available CWE-674

🏢 Vendor Advisories

🔗 https://github.com/jqlang/jq/security/advisories/GHS... 🔗 https://github.com/jqlang/jq/security/advisories/GHS...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40612

Introduce Yourself

Sign In Required