В libinput обнаружена ошибка. Локальный злоумышленник, который может разместить специально созданный файл байт-кода Lua в определенных каталогах конфигурации системы или пользователя, может обойти ограничения безопасности. Это позволяет злоумышленнику запускать неавторизованный код с теми же разрешениями, что и программа, использующая libinput, например графический наборщик.
Это может привести к тому, что злоумышленник отслеживает ввод с клавиатуры и отправляет эту информацию во внешнее место.
Показать оригинальное описание (EN)
A flaw was found in libinput. A local attacker who can place a specially crafted Lua bytecode file in certain system or user configuration directories can bypass security restrictions. This allows the attacker to run unauthorized code with the same permissions as the program using libinput, such as a graphical compositor. This could lead to the attacker monitoring keyboard input and sending that information to an external location.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Freedesktop Libinput
cpe:2.3:a:freedesktop:libinput:*:*:*:*:*:*:*:*
|
— |
1.30.3
|
|
Freedesktop Libinput
cpe:2.3:a:freedesktop:libinput:*:*:*:*:*:*:*:*
|
1.30.4
|
1.31.1
|
|
Fedoraproject Fedora
cpe:2.3:o:fedoraproject:fedora:43:*:*:*:*:*:*:*
|
— | — |
|
Fedoraproject Fedora
cpe:2.3:o:fedoraproject:fedora:44:*:*:*:*:*:*:*
|
— | — |