Uma nova vulnerabilidade, batizada de Pack2TheRoot, pode ser explorada no daemon PackageKit para permitir que usuários locais de Linux instalem ou removam pacotes do sistema e obtenham privilégios de root.
A falha foi identificada como
CVE-2026-41651
e recebeu 8,8 de 10 na avaliação de severidade, classificada como média.
Ela permaneceu presente por quase 12 anos no daemon PackageKit, serviço em segundo plano que gerencia instalação, atualizações e remoção de software em sistemas Linux.
No início desta semana, foram divulgadas informações sobre a vulnerabilidade, junto com a versão 1.3.5 do PackageKit, que corrige o problema.
No entanto, os detalhes técnicos e uma demonstração de exploit não foram publicados, a fim de dar tempo para que os patches se espalhem.
Uma investigação do Red Team da Deutsche Telekom identificou que a causa do bug está no mecanismo que o PackageKit usa para lidar com solicitações de gerenciamento de pacotes.
Segundo os pesquisadores, comandos como "pkcon install" podiam ser executados sem exigir autenticação em determinadas condições em um sistema Fedora, o que permitia a instalação de um pacote do sistema.
Com o auxílio da ferramenta de IA Claude Opus, eles aprofundaram a análise desse comportamento e descobriram a
CVE-2026-41651
.
O Red Team da Deutsche Telekom comunicou os resultados à Red Hat e aos mantenedores do PackageKit em 8 de abril.
Segundo a equipe, é seguro supor que todas as distribuições que vêm com o PackageKit pré-instalado e habilitado por padrão estão vulneráveis à
CVE-2026-41651
.
A vulnerabilidade está presente desde o PackageKit 1.0.2, lançado em novembro de 2014, e afeta todas as versões até a 1.3.4, de acordo com o comunicado de segurança do projeto.
Testes feitos pelos pesquisadores confirmaram que um atacante poderia explorar a
CVE-2026-41651
nas seguintes distribuições Linux:
Ubuntu Desktop 18.04, já em fim de vida útil; Ubuntu Desktop 24.04.4 LTS; Ubuntu Desktop 26.04 LTS beta; Ubuntu Server 22.04 a 24.04 LTS; Debian Desktop Trixie 13.4; RockyLinux Desktop 10.1; Fedora 43 Desktop; Fedora 43 Server.
A lista, porém, não é exaustiva.
Qualquer distribuição Linux que use o PackageKit deve ser tratada como potencialmente vulnerável a ataques.
Os usuários devem atualizar para o PackageKit 1.3.5 o quanto antes e garantir que qualquer outro software que use o pacote como dependência tenha sido movido para uma versão segura.
Também é possível usar os comandos abaixo para verificar se há uma versão vulnerável do PackageKit instalada e se o daemon está em execução:
"dpkg -l | grep -i packagekit"
"rpm -qa | grep -i packagekit"
Os usuários podem executar "systemctl status packagekit" ou "pkmon" para verificar se o daemon PackageKit está disponível e em execução, o que indica que o sistema pode estar em risco se permanecer sem correções.
Embora não tenham sido compartilhados detalhes sobre o estágio de exploração, os pesquisadores observaram fortes indícios de comprometimento, já que a exploração faz o daemon PackageKit falhar em uma asserção e travar.
Mesmo que o systemd consiga reiniciar o daemon, a queda fica registrada nos logs do sistema.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...