QtCore のプライベート API 関数 qDecodeDataUrl() に問題が発見されました。この関数は QTextDocument および QNetworkReply で使用されており、ユーザーコードでも使用される可能性があります。この問題は CVE ID CVE-2025-5455 に割り当てられました。
影響を受けるバージョン: Qt 5.15.18 を含むすべてのバージョン、6.0.0 から 6.5.8 まで、6.6.0 から 6.8.3 まで、および 6.9.0。この問題は、Qt 5.15.19、Qt 6.5.9、Qt 6.8.4、Qt 6.9.1 で修正されています。
影響: 関数が不正なデータで呼び出された場合(例: 「charset」 パラメーターに値が欠落した URL(例: 「data:charset,」)など)、Qt がアサーションを有効にしてビルドされている場合、アサーションがトリガーされ、サービス拒否が発生します。
脆弱性スコア:
CVSS v4.0: 8.4
解決策: 以下のパッチを適用するか、Qt 6.9.1、6.8.4、6.5.9、または 5.15.19 にアップデートしてください。