製品・ソフトウェアに関する情報

JVN脆弱性詳細

jqlangのjqにおける複数の脆弱性

Title	jqlangのjqにおける複数の脆弱性
Summary	jqはコマンドラインのJSONプロセッサです。6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b以前のコミットには、埋め込まれたNULバイトを介して検証を回避できるCLI入力解析の脆弱性が含まれていました。jqがファイルや標準入力からJSONを読み取る際、fgets()による実際のバイト数ではなくstrlen()を使ってバッファ長を決定していたため、入力を最初のNULバイトで切り捨て、その前のプレフィックスだけを解析していました。これにより、攻撃者はNULバイトの前に無害なJSONプレフィックスを作成し、その後に悪意のある追尾データを続ける入力を作成できました。jqはプレフィックスのみを有効なJSONとして検証し、サフィックスは黙って破棄します。jqを使用して信頼できないJSONを検証し、それを下流の消費者に転送するワークフローはパーサの差分攻撃に対して脆弱であり、これらの消費者は悪意ある追尾バイトを含む完全な入力を処理する可能性があります。この問題はコミット6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5bで修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 14, 2026, midnight
Registration Date	April 23, 2026, 10:12 a.m.
Last Update	April 23, 2026, 10:12 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Affected System

jqlang

jq 2026-04-12 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33948	https://www.cve.org/CVERecord?id=CVE-2026-33948
National Vulnerability Database (NVD)
2	CVE-2026-33948	https://nvd.nist.gov/vuln/detail/CVE-2026-33948

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-170	https://cwe.mitre.org/data/definitions/170.html
2	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
GitHub
1	Embedded-NUL Truncation in jq CLI JSON Input Path Causes Prefix-Only Validation of Malformed Input Advisory jqlang/jq GitHub	https://github.com/jqlang/jq/security/advisories/GHSA-32cx-cvvh-2wj9

その他

No	Name	URL
関連文書
1	Fix NUL truncation in the JSON parser jqlang/jq@6374ae0 GitHub	https://github.com/jqlang/jq/commit/6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b

Change Log

No	Changed Details	Date of change
1	[2026年04月23日] 掲載	April 23, 2026, 10:12 a.m.

NVD Vulnerability Information

CVE-2026-33948

Summary	jq is a command-line JSON processor. Commits before 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b contain a vulnerability where CLI input parsing allows validation bypass via embedded NUL bytes. When reading JSON from files or stdin, jq uses strlen() to determine buffer length instead of the actual byte count from fgets(), causing it to truncate input at the first NUL byte and parse only the preceding prefix. This enables an attacker to craft input with a benign JSON prefix before a NUL byte followed by malicious trailing data, where jq validates only the prefix as valid JSON while silently discarding the suffix. Workflows relying on jq to validate untrusted JSON before forwarding it to downstream consumers are susceptible to parser differential attacks, as those consumers may process the full input including the malicious trailing bytes. This issue has been patched by commit 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b.
Publication Date	April 14, 2026, 9:16 a.m.
Registration Date	April 15, 2026, 11:39 a.m.
Last Update	April 22, 2026, 8:48 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:jqlang:jq::::::::					2026-04-12

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/jqlang/jq/commit/6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b	security-advisories@github.com
2	https://github.com/jqlang/jq/security/advisories/GHSA-32cx-cvvh-2wj9	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-170	不適切な NULL による終了	https://cwe.mitre.org/data/definitions/170.html