В библиотеке libinput обнаружено несколько уязвимостей:
-
CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.
-
CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua
__gc()оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.
Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.
Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и
NixOS не имеют этой опции и/или используют более старые версии libinput.
Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3
>>> Подробности
