La vulnerabilidad está clasificada como de alta gravedad, con una puntuación CVSS de 8.8, y ha estado presente durante casi 12 años. Descubierta por el Red Team de Deutsche Telekom, surge porque PackageKit permite ejecutar comandos como “pkcon install” sin contraseña en algunos sistemas. Los investigadores utilizaron IA (Claude Opus) para analizar el problema, lo confirmaron manualmente y lo reportaron de manera responsable a los mantenedores, quienes validaron la falla. “Hoy hacemos pública una vulnerabilidad de alta gravedad (CVSS 3.1: 8.8) —en coordinación con los mantenedores de las distribuciones— que afecta a múltiples distribuciones Linux en sus instalaciones por defecto. La vulnerabilidad Pack2TheRoot puede ser explotada por cualquier usuario local sin privilegios para obtener acceso root en un sistema vulnerable”, señala el aviso publicado por Deutsche Telekom. “La vulnerabilidad reside en el demonio PackageKit, una capa de abstracción de gestión de paquetes multiplataforma.” 

 Los detalles de la falla Pack2TheRoot se revelaron junto con una solución en PackageKit 1.3.5, aunque el código de explotación se retuvo para permitir la aplicación de parches. Los investigadores de Deutsche Telekom descubrieron que PackageKit podía ejecutar comandos como “pkcon install” sin autenticación en algunos casos en Fedora, lo que permitía la instalación de paquetes. Utilizaron la herramienta de IA Claude Opus para explorar este comportamiento y identificaron la vulnerabilidad como CVE-2026-41651. Todas las versiones de PackageKit desde la 1.0.2 hasta la 1.3.4 son vulnerables, afectando a muchas distribuciones Linux durante más de 12 años. 

Los sistemas probados incluyen Ubuntu, Debian, Fedora y Rocky Linux, y otras distribuciones que usan PackageKit también podrían estar en riesgo, incluyendo servidores con Cockpit. El problema se soluciona en la versión 1.3.5, con parches publicados el 22 de abril de 2026. Los detalles técnicos de la vulnerabilidad aún no se han revelado y se compartirán más adelante. Los investigadores han desarrollado una prueba de concepto confiable que permite a un usuario local sin privilegios obtener ejecución de código como root en sistemas Linux por defecto. Sin embargo, el código de la PoC no se ha publicado para evitar abusos mientras se implementan los parches.

Para verificar si tu sistema es vulnerable, comprueba si PackageKit está instalado usando dpkg o rpm, ya que puede ejecutarse bajo demanda a través de D-Bus. Luego, revisa si el servicio está activo con systemctl o herramientas de monitoreo como pkmon o pkgcli. Si está activo y sin parchear, tu sistema podría estar en riesgo. Aunque la versión 1.3.5 soluciona el problema, muchas distribuciones han lanzado versiones parcheadas por separado, por lo que es esencial actualizar a través de tu distribución. Puedes usar los siguientes comandos para verificar si una versión vulnerable de PackageKit está instalada en tu sistema: dpkg -l | grep -i packagekit rpm -qa | grep -i packagekit Para confirmar si el demonio PackageKit está activo, ejecuta systemctl status packagekit o pkmon. Si el servicio está cargado o en ejecución, tu sistema podría estar en riesgo si no ha sido parcheado. 

Fuentes:
https://securityaffairs.com/191231/security/12-year-old-pack2theroot-bug-lets-linux-users-gain-root-privileges.html