Platform
linux
Component
xdg-desktop-portal
Opgelost in
1.20.4
1.21.1
CVE-2026-40354 is a security vulnerability affecting xdg-desktop-portal, a component facilitating sandboxed application access to system resources. This flaw allows malicious Flatpak applications to bypass sandboxing restrictions and permanently delete files within the host system's file structure through a symlink attack. The vulnerability impacts versions 0.0.0 through 1.21.1, and a fix is available in version 1.21.1.
De kwetsbaarheid CVE-2026-40354 in xdg-desktop-portal, met name die Flatpak-versies vóór 1.20.4 en de 1.21.x-versie vóór 1.21.1, stelt elke Flatpak-app in staat om willekeurige bestanden op het hostsysteem te verwijderen. Dit wordt bereikt via een symlink-aanval (symlink attack) die de functie gfiletrash misbruikt. Een aanvaller zou een symbolische link kunnen maken die naar een kritiek systeem bestand wijst, en vervolgens zou een kwaadaardige Flatpak-applicatie de 'prullenbak'-functionaliteit kunnen gebruiken om dat bestand te verwijderen, wat mogelijk aanzienlijke schade aan het besturingssysteem of aan gebruikersgegevens kan veroorzaken. De ernst van deze kwetsbaarheid ligt in het potentieel om de beveiliging van het hostsysteem in gevaar te brengen, aangezien Flatpak-applicaties, die bedoeld zijn om geïsoleerd te zijn, nu gevaarlijk kunnen interageren met het onderliggende systeem.
De aanval maakt gebruik van het vermogen van een Flatpak-applicatie om te interageren met de functie gfiletrash van xdg-desktop-portal. Een aanvaller maakt eerst een symbolische link die naar een gevoelig bestand op het hostsysteem wijst. Vervolgens kan de Flatpak-applicatie deze kwetsbaarheid misbruiken en de 'prullenbak'-functie gebruiken om het bestand te verwijderen waarnaar de symbolische link wijst. De sleutel tot de aanval is het gebrek aan juiste symlink-validatie door xdg-desktop-portal, waardoor een Flatpak-applicatie bestanden buiten zijn sandbox-omgeving kan manipuleren. Deze aanval is relatief eenvoudig uit te voeren als een aanvaller toegang heeft tot de machine en bestanden op het bestandssysteem kan maken.
Users of Linux distributions utilizing Flatpak for application sandboxing are at risk, particularly those running versions of xdg-desktop-portal prior to 1.21.1. This includes users who rely on Flatpak for secure application deployment and those who have granted Flatpak applications broad permissions.
• linux / server:
find /path/to/flatpak/data -type l -print0 | xargs -0 ls -l | grep '^l' # Check for suspicious symlinks within Flatpak data directories
journalctl -f | grep -i 'xdg-desktop-portal' # Monitor portal logs for unusual activitydisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om xdg-desktop-portal bij te werken naar versie 1.21.1 of hoger. Flatpak-gebruikers moeten hun pakketten bijwerken via hun voorkeurs pakketbeheerder. Het tijdig toepassen van deze update is cruciaal om het risico op uitbuiting te verminderen. Controleer bovendien de geïnstalleerde Flatpak-applicaties en verwijder alle die niet vertrouwd zijn of niet worden gebruikt. Het up-to-date houden van het besturingssysteem en applicaties is een fundamentele beveiligingspraktijk om uzelf te beschermen tegen bekende kwetsbaarheden. Voor gebruikers die niet onmiddellijk kunnen updaten, wees voorzichtig bij het uitvoeren van onbekende of niet-geverifieerde Flatpak-applicaties.
Actualice xdg-desktop-portal a la versión 1.20.4 o superior, o a la versión 1.21.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de seguridad que permite a las aplicaciones Flatpak trastear archivos en el sistema host a través de un ataque de enlace simbólico. Asegúrese de actualizar todos los sistemas que utilicen xdg-desktop-portal.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
xdg-desktop-portal is een component die het applicaties mogelijk maakt om toegang te krijgen tot desktopresources, zoals bestandsselectie, afdrukken en vensterbeheer, op een veilige en gestandaardiseerde manier.
Flatpak is ontworpen als een veilige manier om applicaties te distribueren, maar zoals elke software kan het kwetsbaarheden hebben. Deze kwetsbaarheid is een voorbeeld van hoe zelfs geïsoleerde applicaties kunnen worden misbruikt als de juiste voorzorgsmaatregelen niet worden genomen.
Als u een versie van Flatpak xdg-desktop-portal gebruikt vóór 1.20.4 of in de 1.21.x-versie vóór 1.21.1, is de kans groot dat u getroffen bent. Controleer de geïnstalleerde versie via uw pakketbeheerder.
Als u niet onmiddellijk kunt updaten, wees dan voorzichtig bij het uitvoeren van onbekende of niet-geverifieerde Flatpak-applicaties. Vermijd het verlenen van onnodige machtigingen aan Flatpak-applicaties.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren. De beste verdediging is om uw systeem en applicaties up-to-date te houden.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.