Une nouvelle vulnérabilité baptisée **Pack2TheRoot** pourrait être exploitée dans le démon **PackageKit** pour permettre aux utilisateurs Linux locaux d'installer ou de supprimer des paquets système et d'obtenir des permissions root. La faille est identifiée comme **CVE-2026-41651** et a reçu une note de sévérité élevée de 8,8 sur 10. Elle persiste depuis près de 12 ans dans le démon **PackageKit**, un service d'arrière-plan qui gère l'installation, la mise à jour et la suppression de logiciels sur les systèmes Linux. Plus tôt cette semaine, des informations sur la vulnérabilité ont été publiées, ainsi que la version 1.3.5 de **PackageKit** qui corrige le problème. Cependant, les détails techniques et un exploit de démonstration n'ont pas été divulgués afin de permettre la propagation des correctifs. Une enquête menée par le **Deutsche Telekom Red Team** a révélé que la cause du bug réside dans le mécanisme utilisé par **PackageKit** pour gérer les requêtes de gestion de paquets. Plus précisément, les chercheurs ont découvert que des commandes telles que `pkcon install` pouvaient être exécutées sans nécessiter d'authentification dans certaines conditions sur un système Fedora, leur permettant d'installer un paquet système. En utilisant l'outil d'IA **Claude Opus**, ils ont exploré davantage le potentiel d'exploitation de ce comportement et ont découvert **CVE-2026-41651**.  ### Impact et correctifs Le **Red Team de Deutsche Telekom** a signalé ses découvertes à **Red Hat** et aux mainteneurs de **PackageKit** le 8 avril. Ils déclarent qu'il est raisonnable de supposer que toutes les distributions livrées avec **PackageKit** pré-installé et activé par défaut sont vulnérables à **CVE-2026-41651**. La vulnérabilité était présente dans la version 1.0.2 de **PackageKit**, publiée en novembre 2014, et affecte toutes les versions jusqu'à la 1.3.4, selon l'avis de sécurité du projet. Les tests des chercheurs ont confirmé qu'un attaquant pouvait exploiter la vulnérabilité **CVE-2026-41651** dans les distributions Linux suivantes : * Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta) * Ubuntu Server 22.04 – 24.04 (LTS) * Debian Desktop Trixie 13.4 * RockyLinux Desktop 10.1 * Fedora 43 Desktop * Fedora 43 Server La liste n'est cependant pas exhaustive, et toute distribution Linux utilisant **PackageKit** doit être considérée comme potentiellement vulnérable aux attaques. Les utilisateurs doivent mettre à niveau vers la version 1.3.5 de **PackageKit** dès que possible, et s'assurer que tout autre logiciel utilisant le paquet comme dépendance a été déplacé vers une version sécurisée. Les utilisateurs peuvent utiliser les commandes ci-dessous pour vérifier s'ils ont une version vulnérable de **PackageKit** installée et si le démon est en cours d'exécution : `dpkg -l | grep -i packagekit` `rpm -qa | grep -i packagekit` Les utilisateurs peuvent exécuter `systemctl status packagekit` ou `pkmon` pour vérifier si le démon **PackageKit** est disponible et en cours d'exécution, ce qui indique que le système peut être à risque s'il n'est pas corrigé. Bien qu'aucun détail sur l'état d'exploitation n'ait été partagé, les chercheurs ont noté qu'il existe des signes forts de compromission car l'exploitation entraîne un échec d'assertion et un crash du démon **PackageKit**. Même si systemd récupère le démon, le crash est observable dans les journaux système.