文章总结： Linux游戏工具InputPlumber存在CVE-2025-66005等高危漏洞，因D-Bus服务缺乏身份验证且以root权限运行，允许本地攻击者劫持会话、注入按键代码或泄露敏感文件。攻击者可在用户上下文中执行任意代码。官方已发布修复补丁，用户应立即升级至v0.69.0或SteamOS3.7.20版本以消除风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,终端安全

游戏工具变后门？InputPlumber高危漏洞曝光，Linux游戏玩家面临劫持风险

看雪学苑

看雪学苑

2026年1月12日 17:59 上海

近日，一款旨在提升Linux游戏体验的实用工具被曝出存在严重安全漏洞，可能允许本地攻击者劫持用户会话或导致系统崩溃。SUSE安全团队发布报告指出，用于在SteamOS等环境中整合输入设备的工具InputPlumber，其早期版本几乎完全开放，极易遭受攻击。

这些漏洞编号为CVE-2025-66005和CVE-2025-14338，根源在于该工具未能正确验证与其D-Bus服务交互的用户身份。由于InputPlumber以root（超级用户）权限运行，这一疏漏直接开辟了权限提升的路径。

问题是在SUSE一次例行软件包审查中被发现的。报告指出，InputPlumber“主要用于Linux游戏场景，是SteamOS的一部分”，它对外提供了一个用于管理设备的D-Bus系统服务，但安全团队发现其“门禁大开”。

报告称：“我们审查的第一个InputPlumber版本完全缺乏客户端身份验证，因此我们拒绝了它。”

即便在后续尝试添加Polkit（权限管理系统）认证后，实现仍然存在缺陷。审查发现“Polkit支持仅是一个编译时功能……且默认被禁用”，这意味着分发的二进制程序通常根本没有任何保护。此外，该实现还存在一个竞争条件漏洞，即CVE-2025-14338，历史上与不安全地使用“unix-process”这一Polkit认证主体有关。

有效身份验证的缺失意味着“系统内所有用户都可以访问所有InputPlumber的D-Bus方法”。这种暴露允许攻击者通过CreateTargetDevice和CreateCompositeDevice等方法发动危险攻击。

研究人员演示，攻击者可以创建一个虚拟键盘，并将按键输入注入到另一用户的会话中。报告警告称：“系统中的任何用户都可以向活跃的桌面会话或活动的登录终端屏幕注入输入，可能导致在当前登录用户上下文中的任意代码执行。”

此外，CreateCompositeDevice方法可能被滥用于检查特权文件是否存在，或通过将其解析为配置文件来泄露其内容。研究人员指出：“该方法允许信息泄露，例如泄露/root/.bash\_history的内容”，错误信息会显示敏感文件内容。

经过协调披露流程，上游开发者已发布补丁。InputPlumber v0.69.0版本通过默认启用Polkit授权并切换到安全的认证主体，修复了这些漏洞。

用户应立即升级。报告确认，“SteamOS也已发布了包含修复程序的新版镜像，版本号为3.7.20”。Linux游戏玩家及SteamOS用户应尽快检查系统更新，确保安全。

资讯来源：securityonline.info

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《游戏工具变后门？InputPlumber高危漏洞曝光，Linux游戏玩家面临劫持风险》