Sababaraha kerentanan parantos kapendak dina perpustakaan libinput:
CVE-2026-35093: Karentanan sandbox traversal dina plugin. Aya bug dina plugin loader anu ngamungkinkeun bytecode anu tos dikompilasi sateuacanna dimuat, anu ngalangkungan validasi runtime sahingga henteu di-sandbox. Ieu nyiptakeun permukaan serangan anu tiasa ngamungkinkeun plugin jahat kéngingkeun aksés anu teu diwatesan kana sistem, gumantung kana hak istimewa pangguna.
CVE-2026-35094: Kerentanan panggunaan-saatos-bébas anu nyababkeun bocorna inpormasi sénsitip. Plugin anu nyauran fungsi Lua __gc() ninggalkeun "ngagantung" Panunjuk dina nami alat anu tiasa dirékam. Gumantung kana nilai dina sél mémori, ieu tiasa nyababkeun panyingkepan inpormasi sénsitip.
Karentanan ieu mangaruhan sadaya distribusi kalayan libinput vérsi 1.30.0 sareng anu langkung énggal. Nanging, nganggo plugin Lua ngan ukur tiasa dilakukeun upami komposer ngamuatna. Ayeuna, Ieu lumaku pikeun mutter GNOME 50., KWin (git) и Niri (git).
akar-akar leutik, goyangan, jeung walungan teu rentan ka serangan.
Distribusi Fedora 43 sareng 44 nganggo pilihan -Dautoload-plugins, anu ngamuat plugin henteu paduli dukungan komposer. Arch, OpenSuSE, Ubuntu, Debian, sareng NixOS teu gaduh pilihan ieu sareng/atanapi nganggo vérsi libinput anu langkung lami.
Versi anu kapangaruhan: libinput 1.31.0, 1.30.[0-2]
Versi anu parantos diropéa: libinput 1.31.1, 1.30.3
sumber: linux.org.ru
