製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

jqlangのjqにおける複数の脆弱性

タイトル	jqlangのjqにおける複数の脆弱性
概要	jqはコマンドラインのJSONプロセッサです。6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b以前のコミットには、埋め込まれたNULバイトを介して検証を回避できるCLI入力解析の脆弱性が含まれていました。jqがファイルや標準入力からJSONを読み取る際、fgets()による実際のバイト数ではなくstrlen()を使ってバッファ長を決定していたため、入力を最初のNULバイトで切り捨て、その前のプレフィックスだけを解析していました。これにより、攻撃者はNULバイトの前に無害なJSONプレフィックスを作成し、その後に悪意のある追尾データを続ける入力を作成できました。jqはプレフィックスのみを有効なJSONとして検証し、サフィックスは黙って破棄します。jqを使用して信頼できないJSONを検証し、それを下流の消費者に転送するワークフローはパーサの差分攻撃に対して脆弱であり、これらの消費者は悪意ある追尾バイトを含む完全な入力を処理する可能性があります。この問題はコミット6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5bで修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月14日0:00
登録日	2026年4月23日10:12
最終更新日	2026年4月23日10:12

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

jqlang

jq 2026-04-12 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33948	https://www.cve.org/CVERecord?id=CVE-2026-33948
National Vulnerability Database (NVD)
2	CVE-2026-33948	https://nvd.nist.gov/vuln/detail/CVE-2026-33948

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-170	https://cwe.mitre.org/data/definitions/170.html
2	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
GitHub
1	Embedded-NUL Truncation in jq CLI JSON Input Path Causes Prefix-Only Validation of Malformed Input Advisory jqlang/jq GitHub	https://github.com/jqlang/jq/security/advisories/GHSA-32cx-cvvh-2wj9

その他

No	名前	URL
関連文書
1	Fix NUL truncation in the JSON parser jqlang/jq@6374ae0 GitHub	https://github.com/jqlang/jq/commit/6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b

変更履歴

No	変更内容	変更日
1	[2026年04月23日] 掲載	2026年4月23日10:12

NVD脆弱性情報

CVE-2026-33948

概要	jq is a command-line JSON processor. Commits before 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b contain a vulnerability where CLI input parsing allows validation bypass via embedded NUL bytes. When reading JSON from files or stdin, jq uses strlen() to determine buffer length instead of the actual byte count from fgets(), causing it to truncate input at the first NUL byte and parse only the preceding prefix. This enables an attacker to craft input with a benign JSON prefix before a NUL byte followed by malicious trailing data, where jq validates only the prefix as valid JSON while silently discarding the suffix. Workflows relying on jq to validate untrusted JSON before forwarding it to downstream consumers are susceptible to parser differential attacks, as those consumers may process the full input including the malicious trailing bytes. This issue has been patched by commit 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b.
公表日	2026年4月14日9:16
登録日	2026年4月15日11:39
最終更新日	2026年4月22日8:48

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:jqlang:jq::::::::					2026-04-12

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/jqlang/jq/commit/6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b	security-advisories@github.com
2	https://github.com/jqlang/jq/security/advisories/GHSA-32cx-cvvh-2wj9	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-170	不適切な NULL による終了	https://cwe.mitre.org/data/definitions/170.html