一、 漏洞 CVE-2025-66005 基础信息
漏洞信息
# InputManager D-Bus 接口认证缺失漏洞
## 概述
InputPlumber 在 v0.63.0 之前版本的 InputManager D-Bus 接口缺少授权控制,导致安全风险。
## 影响版本
InputPlumber 版本早于 v0.63.0
## 细节
InputManager D-Bus 接口未实施授权验证,本地攻击者可直接调用该接口。
## 影响
可能导致本地拒绝服务(Denial-of-Service)、信息泄露,或以当前用户会话权限进行权限提升。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Lack of Authentication in the InputManager D-Bus interface
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Lack of authorization of the InputManager D-Bus interface in InputPlumber versions before v0.63.0 can lead to local Denial-of-Service, information leak or even privilege escalation in the context of the currently active user session.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
InputPlumber 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
InputPlumber是ShadowBlip开源的一个输入设备路由守护进程。 InputPlumber v0.63.0之前版本存在安全漏洞,该漏洞源于缺少授权,可能导致本地拒绝服务、信息泄露或权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-66005 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-66005 的情报信息
标题: 1249149 – (CVE-2025-14338, CVE-2025-66005) AUDIT-TRACKER: CVE-2025-14338,CVE-2025-66005: inputplumber: dbus-file-unauthorized -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 - **CVE编号**: CVE-2025-14338, CVE-2025-66005 - **漏洞类型**: - CVE-2025-14338: DBus接口未经授权 - CVE-2025-66005: 缺少默认的Polkit身份验证 - **受影响产品**: openSUSE Tumbleweed - **组件**: Security - **状态**: IN_PROGRESS - **优先级和严重性**: P5 - None, Severity: Normal #### 详细描述 - **DBus接口未经授权**: 输入设备组合器程序的D-Bus接口似乎未经授权,需要特别注意D-Bus方法的审查。 - **缺少Polkit身份验证**: 最早的版本没有实现任何Polkit身份验证,导致安全问题。 - **相关链接**: - [输入设备组合器项目](https://github.com/ShadowBlip/InputPlumber) - [OpenSUSE构建服务](https://build.opensuse.org/package/show/hardware/inputplumber) #### 处理状态 - **当前状态**: IN_PROGRESS - **最后修改**: 2026-01-19 22:16:07 UTC - **关键人员**: Tobias G?rgens, Matthias Gerstner - **评论记录**: 多次讨论和更新,包括版本升级、代码审查、与上游协调等。 #### 结论 这个漏洞涉及到InputPlumber程序的安全性问题,主要关注点在于DBus接口的授权和Polkit身份验证的缺失,需要对相关代码进行修改和审查以修复漏洞。目前仍在处理中,等待最终版本的发布和审查完成。
标题: InputPlumber: Lack of D-Bus Authorization and Input Verification allows UI Input Injection and Denial-of-Service (CVE-2025-66005, CVE-2025-14338) | SUSE Security Team Blog -- 🔗来源链接
标签:
神龙速读:- **CVEs**: CVE-2025-66005, CVE-2025-14338 - **Vulnerable Component**: InputPlumber, a Linux utility part of SteamOS - **Affected Version**: 0.67.0 (and earlier) - **Vulnerabilities**: - **Lack of Authentication/Polkit Authentication Bypass**: Client authentication was either missing or bypassed, allowing unprivileged users to access D-Bus methods without authentication. - **D-Bus Methods Allowing Privilege Escalation**: - `CreateCompositeDevice` and `CreateTargetDevice` methods allow unauthorized access and privilege escalation. - **Fixes Suggested and Implemented**: - Updated Polkit authentication logic using "system bus name" subject. - Enabled Polkit authorization by default in the build process. - Used file descriptors instead of path names. - Added documentation and systemd service hardening. - **Timeline of Disclosure and Fixes**: - Initial contact with developers: November 21, 2025. - Fixes in InputPlumber version: v0.69.0. - Publication of this report: January 9, 2026. - **Publication Context**: Some security aspects remained unaddressed at the time of the report's publication.
- https://nvd.nist.gov/vuln/detail/CVE-2025-66005
四、漏洞 CVE-2025-66005 的评论
匿名用户
2026-01-15 06:08:24Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.