CVE-2026-35093libinput组件发现安全漏洞。本地攻击者通过在系统或用户配置目录植入特制的Lua字节码文件,可绕过安全限制。攻击者能利用此漏洞以使用libinput的程序(如桌面合成器)权限执行未授权代码。这可能导致键盘输入被监控及敏感数据外泄。该漏洞CVSS评分为8.8,属于高危级别,威胁系统机密性、完整性和可用性。
libinput是一个用于处理输入设备的通用库,广泛应用于Linux桌面环境的图形合成器中。该漏洞的核心在于libinput在解析配置文件时,对Lua字节码文件的加载和执行缺乏严格的安全沙箱隔离。攻击者首先需要具备本地低权限访问权限,然后利用libinput自动加载配置目录(如/etc/libinput或~/.config/libinput)中文件的特性,注入恶意构造的Lua字节码。由于Lua字节码可以直接被Lua虚拟机执行,且libinput未对加载的字节码来源进行有效的签名校验或沙箱限制,攻击者可以通过精心设计的字节码触发任意代码执行。攻击链绕过了标准的权限检查,因为执行该代码的是libinput的宿主程序(通常是图形合成器,如GNOME的Mutter或KWin),这些程序往往拥有比普通用户更高的权限(例如访问输入设备)。一旦代码执行,攻击者即可挂钩键盘事件,记录用户按键,建立隐蔽的后门通道,将窃取的信息回传至攻击者控制的服务器,从而完全控制用户会话。