Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Debian›Дистрибутивdebian

Qt6-base

Уязвимости

23

Эксплуатируемые

0

Макс. CVSS

9.2

Макс. EPSS

0.01884

Распределение по критичности

Критический

1

Высокий

9

Средний

10

Низкий

3

Также сопоставлено как (исходные строки): qt6-base

Топ уязвимостей

CVE-2025-6338Существует неполная уязвимость очистки в поддержке канала Qt Network в Windows, которая может привести к отказу в обслуживании в течение длительного периода. Эта проблема затрагивает Qt от 5.15.0 до 6.8.3, с 6.9.0 до 6.9.2.

CVE-2024-39936Обнаружена проблема в HTTP2 в Qt до версий 5.15.18, 6.x до версий 6.2.13, 6.3.x - 6.5.x до версий 6.5.7 и 6.6.x - 6.7.x до версий 6.7.3. Код для принятия решений о безопасности установленного соединения может выполняться слишком рано, потому что сигнал encrypted() еще не был передан и обработан.

CVE-2025-5455Обнаружена проблема в частной функции API qDecodeDataUrl() в QtCore, которая используется в QTextDocument и QNetworkReply, а также потенциально в пользовательском коде. Если функция вызывалась с некорректными данными, например, URL, содержащим параметр charset без значения, и Qt был собран с включенными утверждениями, то это приводило к срабатыванию утверждения, результатом чего являлся отказ в обслуживании (аварийное завершение). Это влияет на версии Qt до 5.15.18, 6.0.0->6.5.8, 6.6.0->6.8.3 и 6.9.0. Исправлено в версиях 5.15.19, 6.5.9, 6.8.4 и 6.9.1 [1]. Источники: - [1] https://codereview.qt-project.org/c/qt/qtbase/+/642006

CVE-2022-25255В Qt 5.9.x–5.15.x до 5.15.9 и 6.x до 6.2.4 в Linux и UNIX QProcess может выполнять двоичный файл из текущего рабочего каталога, если он не найден в PATH.

CVE-2023-51714В реализации HTTP2 в Qt до версий 5.15.17, 6.x до 6.2.11, 6.3.x до 6.5.x до 6.5.4 и 6.6.x до 6.6.2 обнаружена проблема. network/access/http2/hpacktable.cpp имеет некорректную проверку переполнения целого числа HPack.

CVE-2023-38197Обнаружена проблема в Qt до версий 5.15.15, 6.x до 6.2.10 и 6.3.x до 6.5.x перед 6.5.3. Существуют бесконечные циклы в рекурсивном расширении сущностей.

CVE-2023-37369В Qt до версий 5.15.15, 6.x до 6.2.9 и 6.3.x до 6.5.x, а также в 6.5.2 может произойти сбой приложения в QXmlStreamReader из-за специально созданной XML-строки, которая вызывает ситуацию, когда префикс больше длины.

CVE-2023-32763Проблема была обнаружена в Qt до 5.15.15, 6.x до 6.2.9 и 6.3.x до 6.5.x до 6.5.1. При отрисовке SVG-файла с изображением внутри может быть вызвано переполнение буфера QTextLayout.

CVE-2023-24607Qt до версии 6.4.3 допускает отказ в обслуживании через специально созданную строку, когда используется плагин драйвера SQL ODBC и размер SQLTCHAR равен 4. Уязвимые версии: 5.x до 5.15.13, 6.x до 6.2.8 и 6.3.x до 6.4.3.

CVE-2025-4211Уязвимость 'Improper Link Resolution Before File Access' ('Link Following') в QFileSystemEngine модуля Qt corelib на Windows, которая потенциально позволяет проводить атаки с использованием символических ссылок и вредоносных файлов. Проблема возникла из CVE-2024-38081. Уязвимость связана с использованием API GetTempPath, который может быть использован злоумышленниками для манипуляции путями временных файлов, что потенциально может привести к несанкционированному доступу и повышению привилегий. Публичный API в Qt Framework, затронутый этой проблемой, включает QDir::tempPath() и все, что его использует, например, QStandardPaths с TempLocation, QTemporaryDir и QTemporaryFile. Эта проблема затрагивает все версии Qt до 5.15.18 включительно, версии от 6.0.0 до 6.5.8, и от 6.6.0 до 6.8.1. Исправление доступно в Qt 5.15.19, Qt 6.5.9, Qt 6.8.2 и 6.9.0. Источники: - [1] https://codereview.qt-project.org/c/qt/qtbase/+/632231

CVE-2024-30161В Qt 6.5.4, 6.5.5 и 6.6.2 данные заголовка QNetworkReply могут быть доступны через висячий указатель в Qt для WebAssembly (wasm). (Более ранние и поздние версии не подвержены.)

CVE-2024-25580В gui/util/qktxhandler.cpp в Qt до 5.15.17, 6.x до 6.2.12, 6.3.x через 6.5.x до 6.5.5 и 6.6.x до 6.6.2 обнаружена проблема. Переполнение буфера и сбой приложения могут произойти через специально созданный файл изображения KTX.

CVE-2023-43114Обнаружена проблема в Qt до версий 5.15.16, 6.x до версии 6.2.10 и 6.3.x до 6.5.x до версии 6.5.3 в Windows. При использовании механизма шрифтов GDI, если поврежденный шрифт загружается через QFontDatabase::addApplicationFont{FromData], это может привести к сбою приложения из-за отсутствия проверок длины.

CVE-2020-23884Переполнение буфера в Nomacs v3.15.0 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) через специально созданный MNG-файл.

CVE-2025-30348encodeText в QDom в Qt до 6.8.0 имеет сложный алгоритм, включающий копирование XML-строки и встроенную замену частей строки (с перемещением последующих данных).

CVE-2023-34410Проблема была обнаружена в Qt до 5.15.15, 6.x до 6.2.9 и 6.3.x до 6.5.x до 6.5.2. Проверка сертификатов для TLS не всегда учитывает, является ли корень цепочки настроенным сертификатом ЦС.

CVE-2023-33285Обнаружена проблема в Qt 5.x до 5.15.14, 6.x до 6.2.9 и 6.3.x до 6.5.x до 6.5.1. QDnsLookup имеет переполнение буфера при чтении через специально созданный ответ от DNS-сервера.

CVE-2023-32762Проблема была обнаружена в Qt до 5.15.14, 6.x до 6.2.9 и 6.3.x до 6.5.x до 6.5.1. Qt Network неправильно анализирует заголовок strict-transport-security (HSTS), позволяя устанавливать незашифрованные соединения, даже если они явно запрещены сервером. Это происходит, если регистр, используемый для этого заголовка, не соответствует точно.

CVE-2025-3512В QTextMarkdownImporter есть уязвимость Buffer Overflow. Это требует неправильно отформатированного файла разметки, который должен быть передан QTextMarkdownImporter, чтобы вызвать переполнение.Эта проблема затрагивает Qt от 6.8.0 до 6.8.4. Известно, что версии до 6.6.0 не затрагиваются, а исправление - в 6.8.4 и более поздних версиях.

CVE-2023-45935Обнаружено, что Qt 6 до версии 6.6 содержит разыменование нулевого указателя через функцию QXcbConnection::initializeAllAtoms(). ПРИМЕЧАНИЕ: это оспаривается, поскольку не ожидается, что X-приложение продолжит работу при произвольном аномальном поведении со стороны X-сервера.

CVE-2022-25634Qt до версий 5.15.8 и 6.x до 6.2.3 может загружать файлы системных библиотек из непредназначенного рабочего каталога.

CVE-2025-5992При передаче значений вне ожидаемого диапазона в QColorTransferGenericFunction в Qt может возникнуть отказ в обслуживании. Эта проблема затрагивает Qt версий от 6.6.0 до 6.8.3 и от 6.9.0 до 6.9.1. Исправление доступно в версиях 6.8.4 и 6.9.2 [1]. Источники: - [1] https://codereview.qt-project.org/c/qt/qtbase/+/647919

CVE-2025-5991В Qt's QHttp2ProtocolHandler в модуле QtNetwork присутствует уязвимость «Use After Free». Это влияет только на обработку HTTP/2, HTTP-обработка не затрагивается. Это происходит из-за состояния гонки между загрузкой тела POST-запроса QHttp2Stream и одновременной обработкой HTTP-ответов об ошибках. Эта проблема затрагивает только Qt 6.9.0 и была исправлена в Qt 6.9.1 [1]. Источники: - [1] https://codereview.qt-project.org/c/qt/qtbase/+/643777

Перейти к вендору →Открыть в каталоге с фильтром по продукту →