Parechje vulnerabilità sò state scuperte in a libreria libinput:
CVE-2026-35093: Vulnerabilità di attraversamentu di sandbox in i plugins. Un bug in u caricatore di plugin hà permessu u caricamentu di bytecode precompilatu, chì ignora a validazione di runtime è dunque ùn hè micca in sandbox. Questu crea una superficia d'attaccu chì puderia permette à un plugin maliziosu d'ottene un accessu illimitatu à u sistema, secondu i privilegi di l'utente.
CVE-2026-35094: Vulnerabilità di tipu "use-after-free" chì porta à una fuga d'infurmazioni sensibili. Un plugin chì chjama a funzione Lua __gc() lascia "appesu" Un puntatore in u nome di u dispusitivu chì pò esse registratu. Sicondu u valore in a cellula di memoria, questu puderia purtà à a divulgazione d'infurmazioni sensibili.
E vulnerabilità affettanu tutte e distribuzioni cù libinput versione 1.30.0 è successive. Tuttavia, l'usu di plugin Lua hè pussibule solu s'è u cumpusitore li carica. Attualmente, Questu vale per u murmure di GNOME 50., KWin (git) и Niri (git).
wlroots, sway, è river ùn sò micca suscettibili à l'attaccu.
E distribuzioni Fedora 43 è 44 utilizanu l'opzione -Dautoload-plugins, chì face chì i plugins sianu caricati indipendentemente da u supportu di u cumpusitore. Arch, OpenSuSE, Ubuntu, Debian è NixOS ùn anu micca sta opzione è/o utilizanu versioni più vechje di libinput.
Versioni affettate: libinput 1.31.0, 1.30.[0-2]
Versioni fisse: libinput 1.31.1, 1.30.3
Source: linux.org.ru
