プラットフォーム
linux
コンポーネント
libinput
CVE-2026-35093は、libinputにおける情報漏洩の脆弱性です。この脆弱性を悪用することで、ローカルの攻撃者は、特定のシステムまたはユーザー構成ディレクトリに特別に細工されたLuaバイトコードファイルを配置し、セキュリティ制限を回避できます。これにより、攻撃者は、グラフィカルコンポジターなど、libinputを使用するプログラムと同じ権限で不正なコードを実行し、キーボード入力を監視して外部に送信する可能性があります。影響を受けるコンポーネントはlibinputです。現在、公式パッチは提供されていません。
CVE-2026-35093はRed Hat Enterprise Linux 10に影響を与え、libinputライブラリ内の脆弱性を明らかにしています。特定のシステムまたはユーザー構成ディレクトリに特別に作成されたLuaバイトコードファイルを配置できるローカル攻撃者は、セキュリティ制限を回避できます。これにより、攻撃者はlibinputを使用するプログラム(グラフィカルコンポジターなど)と同じ権限で不正なコードを実行できます。潜在的な影響には、キーボード入力を監視し、その情報を外部の場所に送信することが含まれ、ユーザーデータの機密性が損なわれる可能性があります。この脆弱性の深刻度はCVSSスコア8.8で評価され、重大なリスクを示しています。現在、この脆弱性に対する修正(fix)は利用できず、KEV(Kernel Event)エントリも存在しません。
この脆弱性は、libinputがLuaファイルを処理する方法にあります。攻撃者は、libinputを使用するプログラム(グラフィカルコンポジターなど)によってロードされると、任意のコードを実行する悪意のあるLuaファイルを作成できます。構成ディレクトリにLuaファイルを戦略的に配置することで、攻撃者は標準的な保護を回避できます。エクスプロイトの成功は、攻撃者がLuaファイルをアクセス可能な場所に配置できることと、libinputを使用するプログラムがLuaファイルを処理するように構成されていることに依存します。即時の修正がないため、この脆弱性は特に懸念されます。
Systems utilizing libinput, particularly those running graphical desktop environments like GNOME, KDE, or Xfce, are at risk. Shared hosting environments where users have write access to system configuration directories are particularly vulnerable. Older Linux distributions that have not yet received a patch are also at increased risk.
• linux / server:
find / -name '*.lua' -type f -print0 | xargs -0 ls -l | grep -i 'modified recently'• linux / server:
journalctl -xe | grep -i "lua bytecode"• linux / server:
lsof | grep libinputdisclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVE-2026-35093に対してRed Hat Enterprise Linux 10に修正がないため、リスクを軽減するための一時的な緩和策を推奨します。これには、システムおよびユーザー構成ディレクトリへのアクセスを制限し、攻撃者が悪意のあるLuaファイルを配置する能力を制限することが含まれます。Luaコードの不正な実行に関連するシステム上の疑わしい活動を監視します。スクリプトの実行と構成ファイルの操作を制御するためのより厳格なセキュリティポリシーの実施を検討してください。Red Hatからの将来のセキュリティアップデートに関する情報を常に最新の状態に保ってください。侵入検知システム(IDS)を実装すると、潜在的な攻撃を特定して対応するのに役立ちます。
Actualice libinput a la última versión disponible proporcionada por su distribución de Linux. Esto mitigará la vulnerabilidad al corregir la forma en que libinput maneja los archivos de bytecode Lua, evitando la ejecución de código no autorizado.
脆弱性分析と重要アラートをメールでお届けします。
libinputは、キーボード、マウス、タッチスクリーンなど、さまざまな入力デバイスの統一されたインターフェースを提供するイベント入力ライブラリです。
この脆弱性を利用して、ローカル攻撃者がキーボード入力を監視することで、パスワードや個人情報などの機密情報を盗むことができます。
推奨される一時的な緩和策を実装し、将来のセキュリティアップデートに関する情報を常に最新の状態に保ってください。
現在、この脆弱性に対する恒久的な解決策はありません。Red Hatのアップデートにご注目ください。
構成ディレクトリへのアクセスを制限し、システムアクティビティを監視し、侵入検知システムの実装を検討してください。
CVSS ベクトル