Das Telekom-Security-Team hat die Sicherheitslücke „Pack2TheRoot“ in PackageKit entdeckt, die Angreifern mit geringen Systemrechten ermöglicht, diese auf root-Ebene auszuweiten. Die Schwachstelle, eine TOCTOU-Race-Condition (CVE-2026-41651, CVSS 8.8, Risiko „high“), betrifft die PackageKit-Versionen 1.0.2 bis 1.3.4 und ermöglicht das unbefugte Installieren oder Entfernen von Systempaketen. Mehrere Linux-Distributionen wie Debian, Fedora, RockyLinux und diverse Ubuntu-Versionen sind in ihrer Standardkonfiguration betroffen. Ein Fix ist seit dem 22. April 2026 mit PackageKit Version 1.3.5 oder neuer verfügbar, und IT-Verantwortliche werden aufgefordert, ihre Systeme zeitnah zu aktualisieren. Die Entdeckung erfolgte durch Telekom-IT-Forscher mit Unterstützung von KI-Tools.