Er zijn diverse kwetsbaarheden ontdekt in de libinput-bibliotheek:
CVE-2026-35093: Kwetsbaarheid voor het omzeilen van de sandbox in plug-ins. Een bug in de pluginlader maakte het mogelijk om vooraf gecompileerde bytecode te laden, waardoor de runtimevalidatie wordt omzeild en de code niet in een sandbox wordt uitgevoerd. Dit creëert een kwetsbaarheid die een kwaadwillende plugin, afhankelijk van de gebruikersrechten, onbeperkte toegang tot het systeem zou kunnen geven.
CVE-2026-35094: Use-after-free-kwetsbaarheid die leidt tot het lekken van gevoelige informatie. Een plugin die de Lua-functie __gc() aanroept, laat een probleem achter. "ophangen" Een verwijzing in de apparaatnaam die kan worden vastgelegd. Afhankelijk van de waarde in de geheugencel kan dit leiden tot het openbaar maken van gevoelige informatie.
De kwetsbaarheden treffen alle distributies met libinput versie 1.30.0 en later. Het gebruik van Lua-plugins is echter alleen mogelijk als Composer ze laadt. Momenteel is dat niet het geval. Dit geldt voor mutter in GNOME 50., KWin (git) и Niri (git).
wlroots, sway en river zijn niet vatbaar voor aanvallen..
Fedora 43 en 44 gebruiken de optie -Dautoload-plugins, waardoor plugins worden geladen ongeacht of Composer dit ondersteunt. Arch, OpenSuSE, Ubuntu, Debian NixOS biedt deze optie niet en/of gebruikt oudere versies van libinput.
Betrokken versies: libinput 1.31.0, 1.30.[0-2]
Opgeloste problemen: libinput 1.31.1, 1.30.3
Bron: linux.org.ru
