Subnavigation

セキュリティ勧告：QHttp2ProtocolHandler で最近発見された Use After Free 問題

6月 16, 2025 by Qt Group 日本オフィス | Comments

QtNetwork モジュール内の Qt の QHttp2ProtocolHandler に「Use After Free」の脆弱性があります。

この脆弱性には CVE ID CVE-2025-5991 が割り当てられています。

影響を受けるバージョン: Qt バージョン 6.9.0。この問題は 6.9.1 で修正されています。

影響範囲: HTTP/2 の処理のみに影響し、HTTP の処理には一切影響しません。これは、QHttp2Stream が POST リクエストの本体をアップロードするプロセスと、同時に処理される HTTP エラー応答の処理との間のレース条件により発生します。

脆弱性スコア: CVSS v4.0: 2.1

解決策:

Qt 6.9.0 に以下のパッチを適用するか、6.9.1 に更新してください。

6.9: https://download.qt.io/official_releases/qt/6.9/CVE-2025-5991-qtbase-6.9.patch　または　https://codereview.qt-project.org/c/qt/qtbase/+/646572

Blog Topics:

Qt
Security

Comments