HTTP2をサポートするサーバーへのTLS接続を開き、そこにホストされているアプリケーションにデータを送信する場合、QtはTLS証明書とリダイレクト先のアドレスが一致しない場合でもサーバーにデータを送信します。この問題は、CVE ID CVE-2024-39936が割り当てられています。
これは、HTTP2をサポートしているすべてのQtのバージョンに影響を与えます。以前のバージョンでは、これはデフォルトでオフになっていましたが、関連する属性を使用してオンにすることができました。
解決策:回避策として、初期リクエストの開始に使用されるQNetworkRequestで次のように呼び出すことで、サポートをオフにすることができます。
setAttribute(QNetworkRequest::Http2AllowedAttribute, false);
代わりに、Qt 6.8.0、Qt 6.7.3、Qt 6.5.7、Qt 6.2.13、または Qt 5.15.18 にアップデートしてください。
パッチ: