jq is a command-line JSON processor. In 1.8.1 and earlier, jv_contains recurses into nested arrays/objects with no depth limit. With a sufficiently nested input structure (built programmatically with reduce, since the JSON parser caps at depth 10000), the C stack is exhausted.
jq versions 1.8.1 and earlier contain a stack exhaustion vulnerability in the jv_contains function when processing deeply nested JSON structures. Attackers can cause denial of service by crafting malicious JSON inputs that exhaust the C stack through unbounded recursion.
تحتوي دالة jv_contains في jq على ثغرة استنزاف المكدس تسمح بمعالجة الهياكل المتداخلة بعمق غير محدود. يمكن للمهاجمين استغلال هذه الثغرة لإنشاء حالات رفض الخدمة من خلال مدخلات JSON المصممة بعناية. هذا يؤثر على جميع الأنظمة التي تعتمد على jq لمعالجة البيانات.
jq إصدارات 1.8.1 والإصدارات الأقدم تحتوي على ثغرة استنزاف المكدس في دالة jv_contains عند معالجة هياكل JSON المتداخلة بعمق. يمكن للمهاجمين التسبب في رفض الخدمة من خلال إنشاء مدخلات JSON ضارة تستنزف مكدس C من خلال العودية غير المحدودة.
Upgrade jq to version 1.8.2 or later. Implement input validation to limit JSON nesting depth. Deploy rate limiting and resource monitoring for JSON processing operations. Consider sandboxing jq execution environments.
قم بترقية jq إلى الإصدار 1.8.2 أو أحدث. قم بتنفيذ التحقق من صحة المدخلات لتحديد عمق تداخل JSON. قم بنشر تحديد معدل المراقبة والموارد لعمليات معالجة JSON. فكر في عزل بيئات تنفيذ jq.