Een eenvoudig te misbruiken, ernstige kwetsbaarheid in de PackageKit cross-distro pakketbeheerlaag stelt niet-bevoegde gebruikers in staat om softwarepakketten met rootrechten te installeren. De kwetsbaarheid, geregistreerd als CVE-2026-41651 met een CVSS-score van 8.1, betreft een raceconditie tussen het controleren en gebruiken van transactieflags (time-of-check time-of-use, TOCTOU). Deze fout, bekend als Pack2TheRoot, ontstaat door een combinatie van drie problemen waarbij door de aanroeper opgegeven flags worden weggeschreven zonder te controleren of de transactie geautoriseerd is of zelfs actief is.

Hierdoor draait een transactie met corrupte flags en omdat deze flags pas bij uitvoering worden gelezen en niet bij autorisatie, ziet de backend de door de aanvaller meegegeven flags. Dit stelt niet-bevoegde gebruikers in staat om willekeurige RPM-pakketten als root te installeren, inclusief scriplets, zonder enige authenticatie, aldus een NIST advisory. De kwetsbaarheid is bevestigd in PackageKit-versies 1.0.2 tot en met 1.3.4, maar bestaat waarschijnlijk al sinds versie 0.8.1, die 14 jaar geleden werd uitgebracht.

Volgens het Red Team van Deutsche Telekom, dat de kwetsbaarheid ontdekte, zijn onder meer de volgende Linux-distributies getroffen: Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta), Ubuntu Server 22.04 – 24.04 (LTS), Debian Desktop Trixie 13.4, RockyLinux Desktop 10.1, Fedora 43 Desktop en Fedora 43 Server. Het is aannemelijk dat alle distributies die PackageKit met deze functionaliteit leveren kwetsbaar zijn. Omdat PackageKit een optionele afhankelijkheid is van het Cockpit-project, kunnen ook veel servers met Cockpit kwetsbaar zijn, waaronder Red Hat Enterprise Linux (RHEL), zoals Deutsche Telekom aangeeft.

Deutsche Telekom heeft ervoor gekozen om geen technische details van de kwetsbaarheid openbaar te maken, vanwege het eenvoudige misbruik en het risico dat aanvallers hiermee root-toegang kunnen verkrijgen of het systeem op andere manieren kunnen compromitteren. Hoewel de kwetsbaarheid binnen enkele seconden betrouwbaar kan worden misbruikt, laat dit wel sporen achter die als sterke indicatoren van compromittering dienen. Na succesvolle exploitatie crasht de PackageKit-daemon door een assertion failure. Systemd herstart de daemon bij de volgende D-Bus-aanroep, waardoor een denial-of-service wordt voorkomen, maar de crash is terug te vinden in de systeemlogs.

De kwetsbaarheid is verholpen in PackageKit versie 1.3.5 en patches zijn inmiddels opgenomen in recente updates van Debian, Ubuntu en Fedora. Meer informatie over de bevestigde impact is te vinden in de security advisory van PackageKit.