리눅스 입력 처리에 널리 사용되는 libinput의 Lua 플러그인 시스템에서 심각한 보안 취약점이 발견되었습니다.

이 시스템은 작년 libinput 1.30 버전에서 도입되었으나, 플러그인 로더가 사전 컴파일된 바이트코드를 실행 시 검증하지 않아 샌드박스 탈출이 가능했습니다.

CVE-2026-35093 취약점은 Lua 플러그인을 통해 시스템 권한으로 무제한 접근이 가능한 문제를 포함합니다.

또한 CVE-2026-35094는 플러그인에서 발생하는 use-after-free 취약점으로 추가 보안 위협을 야기했습니다.

이러한 문제는 X.Org와 Wayland 기반 리눅스 데스크톱 환경 모두에 영향을 미칩니다.

이에 대응해 libinput 1.31.1과 1.30.3 버전이 긴급 보안 패치를 포함해 출시되었습니다.

개발자들은 해당 버전으로 신속히 업데이트할 것을 권고합니다.

이번 보안 이슈는 입력 처리 시스템의 확장성 기능이 보안에 미치는 영향을 재조명하는 계기가 되었습니다.