Una vulnerabilidad crítica de escalado de privilegios, identificada como Pack2TheRoot (CVE-2026-41651, CVSS 3.1: 8.8), ha sido revelada por el equipo Red Team de Deutsche Telekom, afectando a múltiples distribuciones de Linux en sus instalaciones predeterminadas.
El fallo reside en el demonio PackageKit, una capa de abstracción de gestión de paquetes ampliamente utilizada en distribuciones basadas en Debian, Ubuntu, Fedora y Red Hat. Esta vulnerabilidad permite a cualquier usuario local sin privilegios instalar o eliminar paquetes del sistema de forma silenciosa, logrando finalmente acceso completo como root sin necesidad de autenticación.
Según la investigación, todas las versiones de PackageKit desde la 1.0.2 hasta la 1.3.4 están afectadas, lo que abarca más de 12 años de lanzamientos y crea una superficie de ataque excepcionalmente amplia. Además, dado que PackageKit es una dependencia opcional del proyecto de administración de servidores Cockpit, los servidores empresariales que ejecutan Cockpit, incluidos aquellos con Red Hat Enterprise Linux (RHEL), también podrían estar expuestos.
La explotabilidad ha sido confirmada en instalaciones predeterminadas de:
- Ubuntu Desktop 18.04, 24.04.4 LTS y 26.04 LTS Beta
- Ubuntu Server 22.04 y 24.04 LTS
- Debian Desktop Trixie 13.4
- Rocky Linux Desktop 10.1
- Fedora 43 Desktop y Server
Cualquier distribución que incluya PackageKit habilitado por defecto debería considerarse potencialmente vulnerable.
La vulnerabilidad fue descubierta durante una investigación dirigida hacia vectores de escalado de privilegios locales en sistemas Linux modernos. Los investigadores observaron inicialmente que el comando pkcon install podía instalar un paquete del sistema en Fedora Workstation sin solicitar una contraseña. A partir de 2025, utilizaron Claude Opus de Anthropic para guiar y acelerar su análisis, lo que llevó finalmente a la identificación de la falla explotable.
