Diversas vulnerabilidades foram descobertas na biblioteca libinput:
CVE-2026-35093: Vulnerabilidade de travessia de sandbox em plugins. Uma falha no carregador de plugins permitia o carregamento de bytecode pré-compilado, o que burla a validação em tempo de execução e, portanto, não é executado em sandbox. Isso cria uma superfície de ataque que poderia permitir que um plugin malicioso obtivesse acesso irrestrito ao sistema, dependendo dos privilégios do usuário.
CVE-2026-35094: Vulnerabilidade de uso após liberação (use-after-free) que leva ao vazamento de informações sensíveis. Um plugin que chama a função Lua __gc() sai "pendurado" Um ponteiro no nome do dispositivo que pode ser registrado. Dependendo do valor na célula de memória, isso pode levar à divulgação de informações confidenciais.
As vulnerabilidades afetam todas as distribuições com libinput versão 1.30.0 e posterior. No entanto, o uso de plugins Lua só é possível se o Composer os carregar. Atualmente, Isso se aplica ao comando `mutter` do GNOME 50., KWin (git) и Niri (git).
wlroots, sway e river não são suscetíveis a ataques.
As distribuições Fedora 43 e 44 usam a opção -Dautoload-plugins, que carrega plugins independentemente do suporte do Composer. Arch, OpenSUSE, Ubuntu, Debian e NixOS não possuem essa opção e/ou usam versões mais antigas da libinput.
Versões afetadas: libinput 1.31.0, 1.30.[0-2]
Versões corrigidas: libinput 1.31.1, 1.30.3
Fonte: linux.org.ru
