Una vulnerabilidad de alta severidad en PackageKit, presente en múltiples distribuciones Linux, permite que un usuario local sin privilegios pueda instalar paquetes como root y escalar hasta el control total del sistema. 

PackageKit actúa como una capa de abstracción para la gestión de paquetes en Linux. En lugar de que cada aplicación tenga que hablar directamente con apt, dnf, rpm u otros gestores, PackageKit ofrece una interfaz común, utilizada especialmente por herramientas gráficas de instalación y actualización de software.

La comunidad Linux ha recibido una nueva alerta de seguridad tras la publicación de Pack2TheRoot, una vulnerabilidad que afecta a PackageKit, un componente utilizado por varias distribuciones para gestionar paquetes de software de forma común entre distintos sistemas.

El matiz importante es que no se trata de una vulnerabilidad que permita, por sí sola, tomar el control remoto de cualquier equipo Linux expuesto a Internet. El atacante necesita primero tener acceso local al sistema. 

Aun así, una vez dentro, el impacto puede ser crítico: pasar de usuario normal a administrador total del sistema.

La vulnerabilidad está relacionada con una condición de carrera conocida como TOCTOU, siglas de time-of-check to time-of-use. En términos simples, el sistema comprueba una operación en un momento determinado, pero antes de ejecutarla, el estado interno cambia. 

La National Vulnerability Database describe CVE-2026-41651 como una condición de carrera en las banderas de transacción de PackageKit. 

El fallo permite que usuarios sin privilegios instalen paquetes como root, lo que deriva en una escalada local de privilegios. La vulnerabilidad afecta a PackageKit desde la versión 1.0.2 hasta la 1.3.4, y está corregida en 1.3.5. 

INCIBE-CERT también ha publicado un aviso sobre la vulnerabilidad, clasificándola con importancia alta y recomendando actualizar PackageKit a la versión 1.3.5 o superior. 

En su aviso, INCIBE enumera como afectados recursos con versiones de PackageKit desde la 0.8.1 hasta la 1.3.4, ambas incluidas. 

Deutsche Telekom advierte que no basta con mirar si el proceso está ejecutándose, ya que PackageKit puede activarse bajo demanda mediante D-Bus. 

Por eso recomienda comprobar si el paquete está instalado y verificar la versión frente al rango vulnerable. 
La buena noticia es que ya existen correcciones. ´

La mala es que PackageKit está presente en muchas instalaciones y puede no estar siempre en el radar de los administradores. 

Revisar la versión instalada, aplicar actualizaciones oficiales y priorizar los sistemas multiusuario debería ser la respuesta inmediata.