CVE-2026-43894— jq 输入验证错误漏洞

CVSS 6.2 · Medium EPSS 0.01% · P3 更新于 2026-05-15

可能的 ATT&CK 技术 2AI

T1055 · Process Injection T1203 · Exploitation for Client Execution

影响版本矩阵 1

厂商	产品	版本范围	状态
jqlang	jq	`<= 1.8.1`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-43894 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

jq: Wild stack write via signed-integer overflow in decNumber D2U() macro

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

jq is a command-line JSON processor. In 1.8.1 and earlier, when decNumberFromString is given a number literal of INT_MAX-1 (2147483646) digits, the D2U() macro overflows during signed-int arithmetic. The wrapped negative value bypasses the heap-allocation size check, causes the function to use a 30-byte stack buffer, and then writes ≈715 million 16-bit units (≈1.4 GiB) at an offset 1.43 GiB below the stack frame. The written content is fully attacker-controlled (the parsed decimal digits, packed 3-per-unit).

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

整数溢出或超界折返

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

jq 输入验证错误漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

jq是jqlang开源的一个轻量级且灵活的命令行 JSON 处理器。 jq 1.8.1及之前版本存在输入验证错误漏洞，该漏洞源于当decNumberFromString接收INT_MAX-1位数字文字时，D2U()宏在带符号整数算术期间溢出，包装的负值绕过堆分配大小检查，导致函数使用30字节栈缓冲区并写入约7.15亿个16位单元。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
jqlang	jq	<= 1.8.1	-

二、漏洞 CVE-2026-43894 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-43894 的情报信息

请登录查看更多情报信息。

CVE-2026-43894 厂商安全公告 (1)

Wild stack write via signed-integer overflow in decNumber D2U() macro · Advisory · jqlang/jq · GitHubx_refsource_CONFIRM

https://nvd.nist.gov/vuln/detail/CVE-2026-43894

同批安全公告 · jqlang · 2026-05-11 · 共 7 条

CVE-2026-43896	6.2 MEDIUM	jq 安全漏洞
CVE-2026-41256	5.5 MEDIUM	jq 安全漏洞
CVE-2026-43895	4.4 MEDIUM	jq 输入验证错误漏洞
CVE-2026-41257		jq 输入验证错误漏洞
CVE-2026-40612		jq 安全漏洞
CVE-2026-44777		jq 安全漏洞

IV. Related Vulnerabilities

Same product: jq

Same vendor: jqlang

Same weakness: CWE-190

V. Comments for CVE-2026-43894

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-43894— jq 输入验证错误漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 1

一、漏洞 CVE-2026-43894 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-43894 的公开POC

三、漏洞 CVE-2026-43894 的情报信息

CVE-2026-43894 厂商安全公告 (1)

同批安全公告 · jqlang · 2026-05-11 · 共 7 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-43894

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-43894— jq 输入验证错误漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 1

一、 漏洞 CVE-2026-43894 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-43894 的公开POC

三、漏洞 CVE-2026-43894 的情报信息

CVE-2026-43894 厂商安全公告 (1)

同批安全公告 · jqlang · 2026-05-11 · 共 7 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-43894

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-43894 基础信息