Специалисты команды Red Team из Deutsche Telekom обнаружили критическую уязвимость в демоне PackageKit, который отвечает за управление пакетами в Linux. Проблема получила название Pack2TheRoot и идентификатор CVE-2026-41651 с оценкой 8,8 балла по шкале CVSS.Уязвимость позволяет локальному атакующему получить root-доступ к системе без прав администратора. Баг кроется в обработке запросов к фоновому сервису, что дает возможность выполнять команды с повышенными привилегиями.PackageKit является стандартным компонентом многих популярных дистрибутивов, включая Fedora, Ubuntu и Debian. Это делает проблему особенно опасной, так как затрагивает миллионы пользователей Linux по всему миру.Эксплойт использует недостаточную проверку входящих данных в механизме аутентификации демона. Исследователи уже уведомили разработчиков PackageKit и предоставили детали для исправления.На момент публикации новости патч еще не был выпущен, но работа над закрытием дыры уже ведется. Пользователям рекомендуют ограничить локальный доступ к системе до выхода обновления.