Uma vulnerabilidade de alta severidade no PackageKit permite que qualquer usuário comum de um sistema Linux instale ou remova pacotes como se fosse administrador.A falha foi batizada de Pack2TheRoot e é rastreada como CVE-2026-41651, com pontuação CVSS 3.1 de 8.8. A divulgação pública ocorreu nesta semana, após coordenação com os mantenedores das distribuições afetadas.O PackageKit é basicamente uma camada intermediária que permite gerenciar pacotes de software em diferentes distribuições Linux por meio de uma interface unificada. Ele é o componente responsável por instalar e remover programas em sistemas como Ubuntu e Fedora, inclusive a partir de interfaces gráficas.Prova de conceito desenvolvida pelo Red Team da Deutsche Telekom mostra a transição de uma conta sem privilégios para root em um Ubuntu 24.04 LTS. Os detalhes técnicos do exploit foram ocultados e não serão divulgados publicamente por enquanto. Imagem: GitHub.Uma corrida que o atacante sempre ganhaO problema está em como o PackageKit lida com as permissões durante uma instalação. O fluxo normal exige que o usuário seja autorizado antes de qualquer pacote ser instalado. A falha permite burlar essa etapa.Isso é possível porque o sistema verifica as permissões em um momento, mas só lê essas permissões de verdade em outro. Entre os dois pontos, um atacante consegue trocar os valores.Quando a instalação finalmente acontece, o sistema usa as permissões manipuladas pelo atacante, não as originais. O resultado é a instalação de qualquer pacote como root, incluindo scripts embutidos nos pacotes, sem nenhuma senha ou autenticação.O problema está em três pontos específicos do arquivo src/pk-transaction.c, no código-fonte do PackageKit. A combinação das três falhas é o que torna a exploração confiável.Doze anos de superfície de ataqueTodas as versões do PackageKit entre 1.0.2 e 1.3.4 são confirmadas como vulneráveis. A versão 1.0.2 foi lançada há mais de 12 anos. Os pesquisadores acreditam que o problema existe desde a versão 0.8.1, o que ampliaria a janela de exposição para 14 anos.A exploração foi confirmada em instalações padrão de Ubuntu Desktop 18.04, 24.04.4 e 26.04, Ubuntu Server 22.04 a 24.04, Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, e Fedora 43 Desktop e Server.O Red Team da Deutsche Telekom, que descobriu a vulnerabilidade, avisa que qualquer distribuição que instale o PackageKit com ele ativado deve ser considerada vulnerável. Isso inclui servidores com o projeto Cockpit instalado, ferramenta de administração web que usa o PackageKit como dependência. Sistemas Red Hat Enterprise Linux entram nesse grupo.A exploração não exige nenhum equipamento especial nem acesso físico privilegiado. Qualquer usuário com uma conta local no sistema consegue executar o ataque.Descoberta com auxílio de IAA vulnerabilidade foi encontrada pelo Red Team da Deutsche Telekom durante pesquisa focada em formas de escalar privilégios em sistemas Linux modernos. A equipe usou o modelo Claude Opus, da Anthropic, como auxílio na investigação.Segundo os pesquisadores, o modelo foi guiado em uma direção específica de análise, e os achados foram revisados e verificados manualmente antes de serem reportados de forma responsável.Rastreando uma exploração em segundosA falha é explorável em segundos, mas deixa rastros. Após a exploração, o daemon do PackageKit sofre uma falha interna e trava. O sistema o reinicia automaticamente, então não há interrupção visível para o usuário. O crash fica registrado nos logs e pode ser verificado com o comando journalctl --no-pager -u packagekit | grep -i emitted_finished.O PackageKit atua como camada intermediária entre o usuário e o gerenciador de pacotes do sistema operacional. É exatamente esse papel central que torna a falha tão abrangente.Para saber se o sistema está vulnerável, basta checar a versão instalada com dpkg -l | grep -i packagekit em sistemas Debian e Ubuntu, ou rpm -qa | grep -i packagekit em Fedora e RHEL. A correção está disponível no PackageKit 1.3.5, com atualizações já distribuídas por Debian, Ubuntu e Fedora a partir de 22 de abril de 2026.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.