Uma nova vulnerabilidade apelidada de **Pack2TheRoot** poderia ser explorada no daemon **PackageKit** para permitir que usuários locais do Linux instalem ou removam pacotes do sistema e obtenham permissões de root. A falha é identificada como **CVE-2026-41651** e recebeu uma classificação de alta gravidade de 8.8 em 10. Ela persiste há quase 12 anos no daemon **PackageKit**, um serviço em segundo plano que gerencia a instalação, atualização e remoção de software em sistemas Linux. No início desta semana, algumas informações sobre a vulnerabilidade foram publicadas, juntamente com a versão 1.3.5 do **PackageKit** que aborda o problema. No entanto, detalhes técnicos e um exploit de demonstração não foram divulgados para permitir a propagação dos patches. Uma investigação da **Deutsche Telekom Red Team** descobriu que a causa do bug é o mecanismo que o **PackageKit** usa para lidar com solicitações de gerenciamento de pacotes. Especificamente, os pesquisadores descobriram que comandos como `pkcon install` poderiam ser executados sem exigir autenticação sob certas condições em um sistema Fedora, permitindo que eles instalassem um pacote do sistema. Usando a ferramenta de IA **Claude Opus**, eles exploraram ainda mais o potencial de explorar esse comportamento e descobriram a **CVE-2026-41651**.  ### Impacto e correções A **Deutsche Telekom Red Team** relatou suas descobertas para a **Red Hat** e os mantenedores do **PackageKit** em 8 de abril. Eles afirmam que é seguro assumir que todas as distribuições que vêm com o **PackageKit** pré-instalado e habilitado por padrão são vulneráveis à **CVE-2026-41651**. A vulnerabilidade está presente no **PackageKit** versão 1.0.2, lançada em novembro de 2014, e afeta todas as versões até a 1.3.4, de acordo com o aviso de segurança do projeto. Testes de pesquisadores confirmaram que um atacante poderia explorar a vulnerabilidade **CVE-2026-41651** nas seguintes distribuições Linux: * Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta) * Ubuntu Server 22.04 – 24.04 (LTS) * Debian Desktop Trixie 13.4 * RockyLinux Desktop 10.1 * Fedora 43 Desktop * Fedora 43 Server A lista não é exaustiva, no entanto, e qualquer distribuição Linux que use o **PackageKit** deve ser tratada como potencialmente vulnerável a ataques. Os usuários devem atualizar para a versão 1.3.5 do **PackageKit** o mais rápido possível e garantir que qualquer outro software que use o pacote como dependência tenha sido movido para uma versão segura. Os usuários podem usar os comandos abaixo para verificar se possuem uma versão vulnerável do **PackageKit** instalada e se o daemon está em execução: `dpkg -l | grep -i packagekit` `rpm -qa | grep -i packagekit` Os usuários podem executar `systemctl status packagekit` ou `pkmon` para verificar se o daemon **PackageKit** está disponível e em execução, o que indica que o sistema pode estar em risco se não for corrigido. Embora nenhum detalhe sobre o estado de exploração tenha sido compartilhado, os pesquisadores observaram que há fortes sinais de comprometimento, pois a exploração leva o daemon **PackageKit** a falhar em uma asserção e travar. Mesmo que o systemd recupere o daemon, o travamento é observável nos logs do sistema.