Una falla de seguridad de alta gravedad que afecta las instalaciones predeterminadas de las versiones 24.04 y posteriores de Ubuntu Desktop podría aprovecharse para escalar privilegios al nivel raíz.
Seguimiento como CVE-2026-3888 (Puntuación CVSS: 7,8), el problema podría permitir a un atacante tomar el control de un sistema vulnerable.
«Esta falla (CVE-2026-3888) permite a un atacante local sin privilegios escalar privilegios a acceso raíz completo mediante la interacción de dos componentes estándar del sistema: snap-confine y systemd-tmpfiles», dijo la Unidad de Investigación de Amenazas de Qualys (TRU). «Si bien el exploit requiere una ventana de tiempo específica (10 a 30 días), el impacto resultante es un compromiso total del sistema host».
El problema, señaló Qualys, surge de la interacción no intencionada de snap-confine, que administra los entornos de ejecución para aplicaciones instantáneas mediante la creación de un entorno limitado, y systemd-tmpfiles, que limpia automáticamente archivos y directorios temporales (por ejemplo,/tmp, /run y /var/tmp) más antiguos que un umbral definido.
La vulnerabilidad ha sido parcheada en las siguientes versiones:
- Ubuntu 24.04 LTS: versiones snapd anteriores a 2.73+ubuntu24.04.1
- Ubuntu 25.10 LTS: versiones snapd anteriores a 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS (Dev): versiones snapd anteriores a 2.74.1+ubuntu26.04.1
- Snapd ascendente: versiones anteriores a 2.75
El ataque requiere privilegios bajos y ninguna interacción del usuario, aunque la complejidad del ataque es alta debido al mecanismo de retardo en la cadena de explotación.
«En las configuraciones predeterminadas, systemd-tmpfiles está programado para eliminar datos obsoletos en /tmp», dijo Qualys. «Un atacante puede aprovechar esto manipulando el momento de estos ciclos de limpieza».
El ataque se desarrolla de la siguiente manera:
- El atacante debe esperar a que el demonio de limpieza del sistema elimine un directorio crítico (/tmp/.snap) requerido por snap-confine. El período predeterminado es de 30 días en Ubuntu 24.04 y de 10 días en versiones posteriores.
- Una vez eliminado, el atacante recrea el directorio con cargas útiles maliciosas.
- Durante la siguiente inicialización de la zona de pruebas, snap-confine bind monta estos archivos como raíz, lo que permite la ejecución de código arbitrario dentro del contexto privilegiado.
Además, Qualys dijo que descubrió una falla en la condición de carrera en el paquete uutils coreutils que permite a un atacante local sin privilegios reemplazar entradas de directorio con enlaces simbólicos (también conocidos como enlaces simbólicos) durante ejecuciones cron de propiedad raíz.
«La explotación exitosa podría conducir a la eliminación arbitraria de archivos como raíz o a una mayor escalada de privilegios al apuntar a directorios de espacio aislado», dijo la compañía de ciberseguridad. «La vulnerabilidad se informó y mitigó antes del lanzamiento público de Ubuntu 25.10. El comando rm predeterminado en Ubuntu 25.10 se revirtió a GNU coreutils para mitigar este riesgo de inmediato. Desde entonces, se han aplicado correcciones iniciales al repositorio de uutils».