Vulnerabilidad crítica en Ubuntu permite escalada de privilegios a root
Publicado el
Vulnerabilidad CVE-2026-3888 en Ubuntu
Una vulnerabilidad de alta severidad ha sido identificada en las versiones de escritorio de Ubuntu 24.04 y posteriores, permitiendo a atacantes locales escalar privilegios hasta el nivel de root. Esta vulnerabilidad, registrada como CVE-2026-3888 con una puntuación de 7.8 en CVSS, podría permitir a un atacante tomar control total de un sistema vulnerable.
El equipo de investigación de amenazas de Qualys ha señalado que esta falla permite a un atacante no privilegiado escalar privilegios mediante la interacción de dos componentes estándar del sistema: snap-confine y systemd-tmpfiles. Aunque el exploit requiere una ventana de tiempo específica (de 10 a 30 días), su impacto resulta en una compromiso total del sistema anfitrión.
Mecanismo de la vulnerabilidad
La raíz del problema se halla en la interacción no intencionada entre snap-confine, que gestiona entornos de ejecución para aplicaciones snap mediante la creación de un sandbox, y systemd-tmpfiles, que se encarga de limpiar automáticamente archivos y directorios temporales (como /tmp, /run y /var/tmp) que superan un umbral de tiempo definido.
El ataque requiere de bajos privilegios y no necesita interacción del usuario, aunque su complejidad es alta debido al mecanismo de retraso temporal en la cadena de explotación. Según Qualys, el servicio systemd-tmpfiles está programado por defecto para eliminar datos obsoletos en /tmp. Un atacante puede aprovechar esto manipulando el momento de estos ciclos de limpieza.
Proceso del ataque
El ataque se desarrolla de la siguiente manera: el atacante debe esperar a que el demonio de limpieza del sistema elimine un directorio crítico (/tmp/.snap) necesario para snap-confine. El periodo predeterminado para esto es de 30 días en Ubuntu 24.04 y de 10 días en versiones posteriores. Una vez eliminado, el atacante recrea el directorio con cargas útiles maliciosas. Durante la siguiente inicialización del sandbox, snap-confine monta estos archivos como root, lo que permite la ejecución de código arbitrario en un contexto privilegiado.
Otras vulnerabilidades relacionadas
Además, Qualys ha descubierto una falla de condición de carrera en el paquete uutils coreutils, que permite a un atacante local no privilegiado reemplazar entradas de directorio por enlaces simbólicos durante ejecuciones de cron con permisos de root. La explotación exitosa de esta vulnerabilidad podría llevar a la eliminación arbitraria de archivos como root o a una mayor escalada de privilegios al apuntar a directorios de sandbox de snap.
Soluciones y parches
La vulnerabilidad fue reportada y mitigada antes del lanzamiento público de Ubuntu 25.10. Se revertió el comando rm por defecto en esta versión a GNU coreutils para mitigar el riesgo de inmediato. Los parches necesarios han sido aplicados a las siguientes versiones: - Ubuntu 24.04 LTS: versiones de snapd anteriores a 2.73+ubuntu24.04.1 - Ubuntu 25.10 LTS: versiones de snapd anteriores a 2.73+ubuntu25.10.1 - Ubuntu 26.04 LTS (Dev): versiones de snapd anteriores a 2.74.1+ubuntu26.04.1 - Upstream snapd: versiones anteriores a 2.75
Se recomienda a los usuarios actualizar a las versiones parcheadas para proteger sus sistemas contra esta vulnerabilidad crítica.