德国电信公司Deutsche Telekom红队团队近日公布了一个高危安全漏洞Pack2TheRoot，该漏洞存在于包管理工具PackageKit的处理流程中，影响Ubuntu、Debian、Fedora等多个Linux发行版。非特权攻击者可在未经授权的情况下安装或卸载系统软件包，进而可能获取目标主机的root权限，或通过其他途径入侵系统。该漏洞已被登记为CVE-2026-41651，CVSS风险评分为8.8分，属于高危等级。PackageKit开发团队在收到报告后已发布1.3.5版本进行修复。

值得注意的是，该漏洞的影响范围可能非常广泛。Deutsche Telekom最初在博客文章中提到，PackageKit的1.0.2版本已发布超过12年，使用该版本的Linux发行版均会受到影响。然而，他们在安全公告中进一步指出，该漏洞可能早在14年前的0.8.1版本中就已存在。

此次调查起因于Deutsche Telekom发现，可通过一条命令在Fedora工作站上安装系统软件包，且无需输入密码。随后，团队借助Anthropic Claude Opus成功发现了Pack2TheRoot漏洞。该公司已在Ubuntu Desktop 18.04至26.04、Ubuntu Server 22.04至24.04、Debian Desktop Trixie 13.4、Rocky Linux Desktop 10.1，以及Fedora 43的桌面版和服务器版中确认了该漏洞的存在。