Flere sårbarheter er oppdaget i libinput-biblioteket:
CVE-2026-35093: Sårbarhet for sandkassetraversering i programtillegg. En feil i plugin-lasteren tillot lasting av forhåndskompilert bytekode, som omgår kjøretidsvalidering og dermed ikke er sandkassert. Dette skaper en angrepsflate som kan gi en ondsinnet plugin ubegrenset tilgang til systemet, avhengig av brukerens rettigheter.
CVE-2026-35094: Sårbarhet for bruk etter frigjøring som fører til lekkasje av sensitiv informasjon. En plugin som kaller Lua __gc()-funksjonen etterlater "hengende" En peker i enhetsnavnet som kan logges. Avhengig av verdien i minnecellen kan dette føre til avsløring av sensitiv informasjon.
Sårbarhetene påvirker alle distribusjoner med libinput versjon 1.30.0 og nyere. Bruk av Lua-plugins er imidlertid bare mulig hvis komponisten laster dem. For øyeblikket, Dette gjelder GNOME 50s mutter., KWin (git) и Niri (git).
wlrøtter, svai og elv er ikke utsatt for angrep.
Fedora 43 og 44-distribusjoner bruker alternativet -Dautoload-plugins, som laster inn plugins uavhengig av komponiststøtte. Arch, OpenSuSE, Ubuntu, Debian og NixOS mangler dette alternativet og/eller bruker eldre versjoner av libinput.
Berørte versjoner: libinput 1.31.0, 1.30.[0-2]
Faste versjoner: libinput 1.31.1, 1.30.3
Kilde: linux.org.ru
