中危 Qt 安全漏洞(CVE-2023-38197)

CVE编号

CVE-2023-38197

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-07-13

漏洞描述

Qt是挪威Qt公司的一个跨平台的C++应用程序开发框架。广泛用于开发GUI程序，这种情况下又被称为部件工具箱。也可用于开发非GUI程序，例如控制台工具和服务器。Qt 5.15.15 之前版本、6.2.10 之前版本、 6.3.x 到 6.5.3 版本存在安全漏洞，该漏洞源于递归实体扩展中存在无限循环。

解决建议

"将组件 qtbase-opensource-src 升级至 5.15.10+dfsg-3 及以上版本""将组件 qt 升级至 6.2.10 及以上版本""将组件 qt 升级至 6.5.3 及以上版本""将组件 qt 升级至 5.15.15 及以上版本"

参考链接
https://codereview.qt-project.org/c/qt/qtbase/+/488960
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	qt	qt	*		Up to (excluding) 5.15.15
	运行在以下环境
	应用	qt	qt	*	From (including) 6.0.0	Up to (excluding) 6.2.10
	运行在以下环境
	应用	qt	qt	*	From (including) 6.3.0	Up to (excluding) 6.5.3
	运行在以下环境
	系统	amazon_2	qt5-qtbase	*		Up to (excluding) 5.9.2-3.amzn2.0.12
	运行在以下环境
	系统	debian_10	qt4-x11	*		Up to (excluding) 4:4.8.7+dfsg-18+deb10u2
	运行在以下环境
	系统	debian_11	qtbase-opensource-src	*		Up to (including) 5.15.2+dfsg-9
	运行在以下环境
	系统	debian_12	qt6-base	*		Up to (including) 5.15.8+dfsg-11
	运行在以下环境
	系统	debian_sid	qt6-base	*		Up to (excluding) 5.15.10+dfsg-3
	运行在以下环境
	系统	fedora_37	mingw32-qt6-qtbase-debuginfo	*		Up to (excluding) 6.5.1-2.fc37
	运行在以下环境
	系统	fedora_38	mingw32-qt6-qtbase-debuginfo	*		Up to (excluding) 5.15.10-2.fc38
	运行在以下环境
	系统	opensuse_Leap_15.4	qt6-gui-private-devel	*		Up to (excluding) 5.15.2
	运行在以下环境
	系统	opensuse_Leap_15.5	qt6-gui-private-devel	*		Up to (excluding) 5.15.8
	运行在以下环境
	系统	suse_12_SP5	libQt5Sql5	*		Up to (excluding) 5.6.2-6.36.1
	运行在以下环境
	系统	unionos_d	qt4-x11	*		Up to (excluding) 4:4.8.7+dfsg.6-1+dde

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-835	不可达退出条件的循环（无限循环）

Exp相关链接

- avd.aliyun.com