Daghang mga kahuyangan ang nadiskobrehan sa libinput library:
CVE-2026-35093: Kahuyangan sa sandbox traversal sa mga plugin. Usa ka bug sa plugin loader ang nagtugot sa pagkarga sa precompiled bytecode, nga dili moagi sa runtime validation ug busa dili ma-sandbox. Kini makamugna og attack surface nga mahimong magtugot sa usa ka malisyosong plugin nga makakuha og walay pugong nga access sa sistema, depende sa mga pribilehiyo sa tiggamit.
CVE-2026-35094: Kahuyangan sa paggamit-human-sa-walay-gamit nga mosangpot sa pagtulo sa sensitibo nga impormasyon. Ang plugin nga nagtawag sa Lua __gc() function mobiya "nagbitay" Usa ka pointer sa ngalan sa device nga mahimong i-log. Depende sa bili sa memory cell, kini mahimong mosangpot sa pagbutyag sa sensitibo nga impormasyon.
Ang mga kahuyangan makaapekto sa tanang distribusyon nga adunay libinput nga bersyon 1.30.0 ug mas bag-o pa. Apan, ang paggamit sa Lua plugins posible lamang kon kini i-load sa composer. Sa pagkakaron, Kini magamit sa mutter sa GNOME 50., KWin (git) и Niri (git).
ang mga gamot sa kahoy, salog, ug suba dili daling atakehon.
Ang mga distribusyon sa Fedora 43 ug 44 naggamit sa opsyon nga -Dautoload-plugins, nga maoy hinungdan nga ang mga plugin ma-load bisan unsa pa ang suporta sa composer. Arch, OpenSuSE, Ubuntu, Debian ug ang NixOS walay niini nga opsyon ug/o mogamit ug mas daang mga bersyon sa libinput.
Mga apektadong bersyon: libinput 1.31.0, 1.30.[0-2]
Mga naayo nga bersyon: libinput 1.31.1, 1.30.3
Source: linux.org.ru
