CVE-2025-1403

Nome do Software Vulnerável e Versões Afetadas Versões 0.45.0 a 1.2.4 do Qiskit SDK

Descrição Um arquivo QPY criado maliciosamente contendo um fluxo de serialização symengine malformado pode causar uma falha de segmentação na biblioteca symengine, permitindo que um atacante encerre o processo anfitrião que está deserializando o payload QPY. Este problema pode ser explorado por atacantes remotos, potencialmente causando uma negação de serviço.

Recomendações Para as versões 0.45.0 a 1.2.4 do Qiskit SDK, atualize para a versão 1.3.0 ou posterior, que corrige este problema ao utilizar a versão 13 do formato QPY. Além disso, considere aplicar um patch na versão instalada localmente do symengine no ambiente de deserialização para prevenir a falha de segmentação específica. Como solução temporária, considere restringir o uso dos formatos QPY 10, 11 e 12, especialmente quando a flag use symengine estiver definida, para minimizar o risco de exploração. Utilize a função Python fornecida check qpy payload para detectar payloads QPY potencialmente vulneráveis.