漏洞概述 漏洞名称: libinput-device-group 未转义 phys 输出可注入 udev 属性 漏洞描述: libinput 使用一个名为 的 udev 辅助程序。该辅助程序使用设备的 作为 udev 属性值的一部分,该值被打印为 对并由 udev 导入为环境变量。恶意 uinput 或 uhid 设备可以设置包含 的 sysattr,导致输出被解释为两个独立的 对。这可能导致以 root 身份进行任意代码执行,例如通过设置 属性。 CVE 编号: 未分配 影响范围 受影响版本: libinput 1.31.2 和 1.30.3 受影响发行版/组件: 所有 libinput 版本 1.31.2 和 1.30.3 及更早版本 利用条件: 攻击者需要创建恶意 uinput 或 uhid 设备。uinput 通常仅对 root 用户或具有特定自定义 udev 规则的用户可用。在 Fedora 上,以下软件包具有此类规则:steam-devices、antixgames 和 kdeconnect。如果这些软件包已安装,登录到座位的用户可以创建 uinput 设备。uhid 通常仅对 root 用户可用。 修复方案 修复版本: libinput 1.31.3 和 1.30.4 POC 代码 页面中未提供具体的 POC 代码或利用代码。 其他信息 上游问题: https://gitlab.freedesktop.org/libinput/libinput/-/work_items/1296 修复提交: https://gitlab.freedesktop.org/libinput/libinput/-/commit/76f8d8a757c286888286404611281f27f84055 致谢: 感谢 Come 报告此问题。