O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 180–182  |  ISSN 3086-6103

Alerta: Falha no PackageKit permite Elevação Local de Privilégios (CVE-2026-41651)

Estamos cientes de uma nova PoC publicamente disponível [3] que explora vulnerabilidade CVE-2026-41651, afetando o serviço de abstração de gerenciamento de pacotes PackageKit, para realizar uma operação de elevação de privilégios, dessa forma, permitindo que um usuário local sem privilégios administrativos consiga instalar pacotes arbitrários como root.


Contexto e Origem

O PackageKit é um serviço amplamente adotado por distribuições Linux que fornece uma camada de abstração entre aplicações gráficas e o gerenciador de pacotes específico da distribuição via D-Bus. Seu papel é permitir que tais aplicações tenham uma maneira unificada de se comunicar com o gerenciador de pacotes, mesmo em diferentes distribuições.
Em abril de 2026, pesquisadores da Deutsche Telekom Security divulgaram [1] uma vulnerabilidade que explora uma condição de corrida presente no serviço, permitindo que determinados parâmetros sejam alterados após a etapa de autorização, mas antes da execução efetiva da transação.
Como consequência, um usuário autenticado local com privilégios restritos pode manipular uma transação para instalar pacotes arbitrários no sistema, com privilégios de root. A vulnerabilidade recebeu a pontuação CVSS v3.1 de 8.8 (Alta), refletindo sua severidade e facilidade de execução, mesmo que exija acesso a um usuário local.


Execução

A PoC explora uma condição de corrida no PackageKit ao criar uma transação via D-Bus aparentemente legítima, que passa pelas verificações de autorização do Polkit. Enquanto o serviço valida a operação, o exploit altera as flags de transação entre os passos de validação e execução, fazendo que o PackageKit realize a instalação de qualquer pacote com privilégios de root utilizando um estado diferente daquele previamente autorizado. Como a instalação de pacotes é executada pelo próprio serviço privilegiado, o atacante consegue dessa forma instalar um pacote controlado, assim sendo um ponto de entrada para movimentação lateral no ambiente comprometido.


Versões Afetadas

A vulnerabilidade afeta as versões entre 1.0.2 e 1.3.4 do PackageKit. Visto que o serviço é amplamente adotado em diversas distribuições Linux, assim como aplicações gráficas que dependem do PackageKit, é prudente que seja analisada a presença de versões vulneráveis no serviço, mesmo que este não tenha sido diretamente instalado.

A vulnerabilidade foi corrigida na versão 1.3.5 do PackageKit, e atualizações com tal versão foram providenciadas pelas principais distribuições que o possuem como pré requisito. Até o momento da elaboração deste documento, não existem evidências públicas de exploração ativa desta vulnerabilidade, entretando, a existência de uma PoC pública reduz significativamente o esforço necessário para sua exploração por potenciais atores maliciosos.


Mitigações

A principal medida recomendada consiste em atualizar o PackageKit para a sua versão corrigida, disponibilizada pelo fornecedor de sua respectiva distribuição Linux. Em ambientes onde a atualização ainda não esteja disponível, os pesquisadores recomendam aplicar a política do PolicyKit (polkit) fornecida durante a divulgação da vulnerabilidade, restringindo as operações do serviço necessárias para o funcionamento do exploit.


Referências

Categorias: Uncategorized.