Qt XML モジュールの QDom クラスにおけるサービス拒否型のセキュリティ問題が発見され、CVE-2025-30348 という CVE ID が割り当てられました。
影響を受けるバージョン:5.15.18 まで、6.0.0 から 6.5.8 まで、6.6.0 から 6.7.3 まで。
影響:QDom クラスを使用して長いテキストセグメントを含む XML を記述する場合、QDomNode::save() が二次複雑性のコードパスにヒットし、攻撃者がアプリケーションが実行する XML シリアライズの速度や内容(XML の読み込み、変更、書き戻しなど)を制御できる場合、DoS 攻撃につながる可能性があります。
この問題を緩和するには、QDomで受け付けるテキストおよび属性のサイズに実装上の制限を設けるか、アプリケーションをQXmlStreamReader/Writerに移植することをお勧めします。
解決策:以下のパッチを適用するか、Qt 6.9.0、6.8.0、6.5.9、5.15.19 にアップデートしてください。
パッチ