Qtブログ(日本語)

セキュリティ勧告:QtCore の qDecodeDataUrl() に脆弱性

作成者: Qt Group 日本オフィス|Jun 7, 2025 1:46:56 AM
本稿は「Security advisory: Recently discovered issue in qDecodeDataUrl() in QtCore impacts Qt」の抄訳です。
 

QtCore のプライベート API 関数 qDecodeDataUrl() に問題が発見されました。この関数は QTextDocument および QNetworkReply で使用されており、ユーザーコードでも使用される可能性があります。この問題は CVE ID CVE-2025-5455 に割り当てられました。

影響を受けるバージョン: Qt 5.15.18 を含むすべてのバージョン、6.0.0 から 6.5.8 まで、6.6.0 から 6.8.3 まで、および 6.9.0。この問題は、Qt 5.15.19、Qt 6.5.9、Qt 6.8.4、Qt 6.9.1 で修正されています。

影響: 関数が不正なデータで呼び出された場合(例: 「charset」 パラメーターに値が欠落した URL(例: 「data:charset,」)など)、Qt がアサーションを有効にしてビルドされている場合、アサーションがトリガーされ、サービス拒否が発生します。

脆弱性スコア:

CVSS v4.0: 8.4

解決策: 以下のパッチを適用するか、Qt 6.9.1、6.8.4、6.5.9、または 5.15.19 にアップデートしてください。