CVE-2025-23050: Qt QLowEnergyController越界读取漏洞

披露日期: 2025-10-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-23050

漏洞类型

越界读取/除零错误

CVSS评分

3.1 低危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Qt Framework (QLowEnergyController)

这是一个在Qt框架中发现的越界读取和除零错误漏洞。QLowEnergyController组件在处理格式错误的蓝牙ATT命令时存在缺陷，可能导致应用程序崩溃或信息泄露。该漏洞影响Qt 5.15.x和6.x多个版本。

漏洞源于QLowEnergyController未能正确验证传入的蓝牙ATT命令数据包。攻击者可通过发送特制的恶意蓝牙ATT命令触发越界读取操作，或在特定条件下引发除零错误，从而可能导致应用程序异常终止或敏感内存内容被读取。

STEP 1

步骤1

攻击者需要处于目标设备的蓝牙信号范围内

暂无PoC代码

Qt 5.15.x < 5.15.19

Qt 6.5.x < 6.5.9

Qt 6.8.x < 6.8.2

临时缓解措施

限制蓝牙通信，仅允许可信设备连接