CRITICAL🇬🇧 English

CVE-2025-6338

Qt Network (Schannel/Windows): niekompletne czyszczenie zasobów — DoS

CVSS 9.2v4.0pub. 2025-10-16upd. 2026-04-15

W module Qt Network, w obsłudze protokołu Schannel na systemie Windows, istnieje podatność niekompletnego czyszczenia zasobów (CWE-459). Przez długi okres działania aplikacji może ona prowadzić do odmowy usługi (Denial of Service).

Pokaż oryginał (EN)

There is an incomplete cleanup vulnerability in Qt Network's Schannel support on Windows which can lead to a Denial of Service over a long period.This issue affects Qt from 5.15.0 through 6.8.3, from 6.9.0 before 6.9.2.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego zwalniania lub czyszczenia wewnętrznych zasobów podczas obsługi połączeń sieciowych z wykorzystaniem implementacji Schannel w Qt Network na systemie Windows. Nagromadzenie nieoczyszczonych zasobów na przestrzeni czasu powoduje stopniową degradację działania aplikacji, culminującą w jej niedostępności lub całkowitym zatrzymaniu.

Skutki

Atakujący lub długotrwałe użytkowanie mogą doprowadzić do odmowy usługi — zarówno w kontekście samej aplikacji (VC:N/VI:N/VA:H), jak i potencjalnie systemu nadrzędnego (SA:H). Skutek dotyka dostępności usługi, nie poufności ani integralności danych.

Mitygacja

Należy zaktualizować Qt do wersji 6.9.2 lub nowszej. Dla gałęzi 5.15.x oraz 6.8.x należy zastosować patche dostępne u producenta zgodnie z referencjami (codereview.qt-project.org/c/qt/qtbase/+/651495). Jako tymczasowe obejście można rozważyć cykliczne restartowanie usług korzystających z Qt Network na Windows.

Kogo dotyczy

Qt w wersjach od 5.15.0 do 6.8.3 (włącznie) oraz w wersji 6.9.0 do 6.9.1 (przed 6.9.2). Podatność dotyczy wyłącznie systemu Windows (obsługa Schannel w Qt Network).

Uwagi

Podatność ujawnia się dopiero po długim czasie działania aplikacji, co może utrudniać jej szybkie wykrycie w środowiskach produkcyjnych. Wektor CVSS wskazuje na brak wymagania uwierzytelnienia i interakcji użytkownika (PR:N, UI:N), co zwiększa ryzyko eksploatacji zdalnej.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje
CVE-2025-6338 — Qt Network (Schannel/Windows): niekompletne czyszczenie zasobów — DoS — CRITICAL 9.2 | CVEbaza.pl