Qt declarativeモジュールのVectorImageコンポーネントに、コードインジェクション('Code Injection')の脆弱性が発見され、CVE ID「CVE-2025-14576」が割り当てられました。
影響を受けるバージョン: Qt 6.8.0〜Qt 6.8.6、およびQt 6.10.0〜6.10.1
影響: Qt QuickのVectorImageコンポーネントにおけるコードインジェクションの脆弱性により、Windows、macOS、Linux、iOS、Android(x86 / ARM、64ビット / 32ビット)環境でQML/JavaScriptコードのインジェクションが可能となります。
SVGファイル内のノードIDの検証が不十分なため、悪意のあるSVGファイルを読み込んだ場合に、任意のQML/JavaScriptコードがアプリケーションのコンテキストで注入・実行される可能性があります。攻撃が成立するには、ユーザーが悪意のあるSVGファイルを読み込むよう誘導される必要があります。QMLの実行はネイティブコードの実行と比べて通常より制限されていますが、アプリケーションの権限レベルやデータアクセスの範囲によっては、サービス拒否、情報漏洩、その他の影響につながる可能性があります。
CVSSv4.0スコア:7.4(HIGH)
ベクター文字列:CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:U
緩和策:VectorImageコンポーネントを使用する場合は、信頼できるソースからのSVGファイルのみを読み込んでください。SVGコンテンツを読み込む前に検証・サニタイズするか、ユーザーが読み込めるSVGファイルのソースを制限する追加のセキュリティ制御を実装してください。
解決策:以下のパッチを適用するか、Qt 6.8.7またはQt 6.10.2以降にアップデートしてください。
パッチ
dev: https://codereview.qt-project.org/c/qt/qtdeclarative/+/697273
6.10: https://codereview.qt-project.org/c/qt/qtdeclarative/+/698876 または https://download.qt.io/official_releases/qt/6.10/