libinput 库中发现了多个漏洞:
CVE-2026-35093:插件中的沙箱穿越漏洞。 插件加载器中的一个漏洞允许加载预编译的字节码,这绕过了运行时验证,因此不受沙箱保护。这会造成攻击面,恶意插件可能因此获得对系统的不受限制的访问权限,具体取决于用户的权限。
CVE-2026-35094:释放后使用漏洞导致敏感信息泄露。 调用 Lua __gc() 函数的插件会离开 “绞刑” 设备名称中包含一个可被记录的指针。根据存储单元中的值,这可能导致敏感信息泄露。
这些漏洞会影响所有使用 libinput 版本 1.30.0 及更高版本的发行版。但是,只有当 composer 加载 Lua 插件时,才能使用它们。目前, 这适用于 GNOME 50 的 mutter。, KWin(git) и Niri(git).
wlroots、sway 和 river 不易受到攻击.
Fedora 43 和 44 发行版使用 `-Dautoload-plugins` 选项,无论 Composer 是否支持,都会加载插件。Arch、OpenSUSE、Ubuntu、Debian 和 NixOS 缺少此选项,或者使用较旧版本的 libinput。
受影响的版本:libinput 1.31.0, 1.30.[0-2]
已修复版本:libinput 1.31.1, 1.30.3
来源: linux.org.ru
