中危 qt4-x11 安全漏洞 (CVE-2023-37369)

CVE编号

CVE-2023-37369

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-06-30

漏洞描述

In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.2, there can be an application crash in QXmlStreamReader via a crafted XML string that triggers a situation in which a prefix is greater than a length.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugreports.qt.io/browse/QTBUG-114829
https://codereview.qt-project.org/c/qt/qtbase/+/455027
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	qt	qt	*		Up to (excluding) 5.15.15
	运行在以下环境
	应用	qt	qt	*	From (including) 6.0.0	Up to (excluding) 6.2.9
	运行在以下环境
	应用	qt	qt	*	From (including) 6.3.0	Up to (excluding) 6.5.2
	运行在以下环境
	系统	debian	debian_linux	10.0	-
	运行在以下环境
	系统	debian_10	qt4-x11	*		Up to (excluding) 4:4.8.7+dfsg-18+deb10u2
	运行在以下环境
	系统	debian_11	qtbase-opensource-src	*		Up to (including) 5.15.2+dfsg-9
	运行在以下环境
	系统	debian_12	qt6-base	*		Up to (including) 5.15.8+dfsg-11
	运行在以下环境
	系统	debian_sid	qt6-base	*		Up to (excluding) 5.15.10+dfsg-3
	运行在以下环境
	系统	fedora_37	mingw32-qt5-qtbase-devel	*		Up to (excluding) 5.15.10-4.fc37
	运行在以下环境
	系统	fedora_38	mingw32-qt5-qtbase-devel	*		Up to (excluding) 5.15.10-5.fc38
	运行在以下环境
	系统	kylinos_aarch64_V10	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	qt5-qtbase	*		Up to (excluding) 5.11.1-16.p01.ky10
	运行在以下环境
	系统	unionos_d	qt4-x11	*		Up to (excluding) 4:4.8.7+dfsg.6-1+dde
	运行在以下环境
	系统	unionos_e	qt5-qtbase	*		Up to (excluding) qt5-qtbase-5.11.1-16.up7.uel20

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com