jq is a command-line JSON processor. In 1.8.1 and earlier, unbounded recursion in jv_object_merge_recursive() allows a crafted jq program to crash the process with a segfault. The function is reachable through the * operator when both operands are objects.
jq versions 1.8.1 and earlier contain an unbounded recursion vulnerability in jv_object_merge_recursive() that can be triggered via the * operator with object operands, causing process crashes. This affects systems using jq for JSON processing in automated pipelines or services.
تحتوي دالة jv_object_merge_recursive() في jq على ثغرة استدعاء ذاتي غير محدود يمكن استغلالها عند استخدام عامل الضرب (*) مع كائنات JSON. يمكن لمهاجم إرسال برنامج jq مصمم بعناية لإحداث انهيار العملية وتحقيق رفض الخدمة.
إصدارات jq 1.8.1 وأقدم تحتوي على ثغرة استدعاء ذاتي غير محدود في دالة jv_object_merge_recursive() يمكن تفعيلها عبر عامل * مع معاملات الكائنات، مما يسبب توقف العمليات. يؤثر هذا على الأنظمة التي تستخدم jq لمعالجة JSON في خطوط الأنابيب الآلية أو الخدمات.
Upgrade jq to version 1.8.2 or later immediately. For systems unable to upgrade, restrict jq usage to trusted inputs only and implement input validation to prevent malicious jq programs. Monitor jq process crashes and implement resource limits on jq execution.
قم بترقية jq إلى الإصدار 1.8.2 أو أحدث فوراً. بالنسبة للأنظمة التي لا يمكنها الترقية، قيد استخدام jq على المدخلات الموثوقة فقط وطبق التحقق من صحة المدخلات لمنع برامج jq الضارة. راقب توقف عمليات jq وطبق حدود الموارد على تنفيذ jq.