עטלעכע שוואַכקייטן זענען אַנטדעקט געוואָרן אין דער libinput ביבליאָטעק:
-
CVE-2026-35093: זאַמדקאַסטן טראַווערסאַל וואַלנעראַביליטי אין פּלוגינס. א באַג אין דעם פּלאַגין לאָודער האָט דערלויבט דאָס לאָדן פֿון פֿאָרקאָמפּיילטן בייטקאָד, וואָס פֿאַרבײַגייט ראַנטײַם וואַלידאַציע און איז דעריבער נישט סאַנדבאָקסעד. דאָס שאַפֿט אַן אַטאַק־פֿלאַך וואָס קען דערלויבן אַ בייזוויליקן פּלאַגין צו באַקומען אומבאַגרענעצטן צוטריט צום סיסטעם, לויט די באַניצערס פּריווילעגיעס.
-
CVE-2026-35094: נוצן-נאך-פריי שוואכקייט וואס פירט צו סענסיטיווע אינפארמאציע ליקאַדזש. א פּלאַגין וואָס רופט די Lua __gc() פונקציע לאָזט איבער "הענגענדיק" א צייגער אין דעם אפאראט נאמען וואס קען ווערן רעגיסטרירט. דעפענדינג אויף דעם ווערט אין דער זכרון צעל, קען דאס פירן צו דער אנטפלעקונג פון סענסיטיווע אינפארמאציע.
די שוואַכקייטן אַפעקטירן אַלע דיסטריביושאַנז מיט libinput ווערסיע 1.30.0 און שפּעטער. אָבער, ניצן לואַ פּלוגינס איז נאָר מעגלעך אויב דער קאָמפּאָזיטאָר לאָודט זיי. איצט, דאָס גילט פֿאַר GNOME 50'ס מוטער., קווין (גיט) и נירי (גיט).
וואָלרוטס, סוויי און טייך זענען נישט סאַסעפּטאַבאַל צו אַטאַקעס.
פעדאָראַ 43 און 44 דיסטריביושאַנז נוצן די -Dautoload-plugins אָפּציע, וואָס פאַרשאַפט פּלוגינס צו ווערן לאָודיד ראַגאַרדלאַס פון קאָמפּאָזיטאָר שטיצע. Arch, OpenSuSE, Ubuntu, Debian און NixOS האבן נישט די אפציע און/אדער ניצן עלטערע ווערסיעס פון libinput.
אַפעקטירטע ווערסיעס: libinput 1.31.0, 1.30.[0-2]
פאַרפעסטיקטע ווערסיעס: ליבינפּוט 1.31.1, 1.30.3
מקור: linux.org.ru
