Una nueva vulnerabilidad apodada **Pack2TheRoot** podría ser explotada en el demonio **PackageKit** para permitir a usuarios locales de Linux instalar o eliminar paquetes del sistema y obtener permisos de root. La falla se identifica como **CVE-2026-41651** y recibió una calificación de alta severidad de 8.8 sobre 10. Ha persistido durante casi 12 años en el demonio **PackageKit**, un servicio en segundo plano que gestiona la instalación, actualización y eliminación de software en sistemas Linux. A principios de esta semana, se publicó información sobre la vulnerabilidad, junto con la versión 1.3.5 de **PackageKit** que aborda el problema. Sin embargo, los detalles técnicos y un exploit de demostración no se han revelado para permitir la propagación de los parches. Una investigación del **Deutsche Telekom Red Team** descubrió que la causa del error es el mecanismo que **PackageKit** utiliza para manejar las solicitudes de gestión de paquetes. Específicamente, los investigadores encontraron que comandos como `pkcon install` podían ejecutarse sin requerir autenticación bajo ciertas condiciones en un sistema Fedora, permitiéndoles instalar un paquete del sistema. Utilizando la herramienta de IA **Claude Opus**, exploraron aún más el potencial de explotar este comportamiento y descubrieron **CVE-2026-41651**.  ### Impacto y soluciones El **Red Team de Deutsche Telekom** informó sus hallazgos a **Red Hat** y a los mantenedores de **PackageKit** el 8 de abril. Afirman que es seguro asumir que todas las distribuciones que vienen con **PackageKit** preinstalado y habilitado de fábrica son vulnerables a **CVE-2026-41651**. La vulnerabilidad ha estado presente en la versión 1.0.2 de **PackageKit**, lanzada en noviembre de 2014, y afecta a todas las versiones hasta la 1.3.4, según el aviso de seguridad del proyecto. Las pruebas de los investigadores han confirmado que un atacante podría explotar la vulnerabilidad **CVE-2026-41651** en las siguientes distribuciones de Linux: * Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta) * Ubuntu Server 22.04 – 24.04 (LTS) * Debian Desktop Trixie 13.4 * RockyLinux Desktop 10.1 * Fedora 43 Desktop * Fedora 43 Server La lista no es exhaustiva, sin embargo, y cualquier distribución de Linux que utilice **PackageKit** debe considerarse potencialmente vulnerable a ataques. Los usuarios deben actualizar a la versión 1.3.5 de **PackageKit** lo antes posible y asegurarse de que cualquier otro software que utilice el paquete como dependencia se haya movido a una versión segura. Los usuarios pueden usar los siguientes comandos para verificar si tienen instalada una versión vulnerable de **PackageKit** y si el demonio se está ejecutando: `dpkg -l | grep -i packagekit` `rpm -qa | grep -i packagekit` Los usuarios pueden ejecutar `systemctl status packagekit` o `pkmon` para verificar si el demonio **PackageKit** está disponible y en ejecución, lo que indica que el sistema puede estar en riesgo si no se aplica el parche. Aunque no se han compartido detalles sobre el estado de la explotación, los investigadores señalaron que hay fuertes indicios de compromiso, ya que la explotación lleva a que el demonio **PackageKit** falle una aserción y se bloquee. Incluso si systemd recupera el demonio, el bloqueo es observable en los registros del sistema.