Qt SVGモジュールにおいて2つの脆弱性が発見されました。制御不能な再帰の脆弱性にはCVE ID CVE-2025-10728が割り当てられています。使用後解放脆弱性にはCVE ID CVE-2025-10729が割り当てられています。
影響を受けるバージョン: Qt 6.7.0 から 6.8.4 および 6.9.0 から 6.9.2。
影響: モジュールが<pattern>要素を含むSvgファイルをレンダリングする際、再帰的にレンダリングされ、スタックオーバーフローによるサービス拒否(DoS)を引き起こす可能性があります。
CVSS 4.0 スコア: 9.4
対策: Qt SVGモジュールへのすべての入力が信頼できるソースからのみであることを確認してください。
解決策:以下のパッチを適用するか、Qt 6.9.3 または 6.8.5 に更新してください。
影響を受けるバージョン: Qt 6.7.0 から 6.8.4 および 6.9.0 から 6.9.2 まで。
影響:モジュールが構造ノードの子ではない<pattern>ノードを解析する際、ノードは作成後に削除されますが、その後アクセスされる可能性があり、フリー後の使用(use after free)を引き起こす恐れがあります。
CVSS 4.0 スコア: 9.4
緩和策: Qt SVG モジュールへのすべての入力が信頼できるソースからのみであることを確認してください。
解決策: 以下のパッチを適用するか、Qt 6.9.3 または 6.8.5 に更新してください。