Plataforma
linux
Componente
xdg-desktop-portal
Corrigido em
1.20.4
1.21.1
O CVE-2026-40354 é uma vulnerabilidade de segurança identificada no xdg-desktop-portal, especificamente em versões anteriores a 1.20.4 e 1.21.x antes da versão 1.21.1. Essa falha permite que aplicativos Flatpak, explorando um ataque de symlink, excluam arquivos no contexto do sistema hospedeiro, comprometendo a integridade dos dados. A vulnerabilidade foi publicada em 11 de abril de 2026 e uma correção foi disponibilizada na versão 1.21.1.
A vulnerabilidade CVE-2026-40354 no xdg-desktop-portal, afetando especificamente versões Flatpak anteriores a 1.20.4 e a versão 1.21.x antes de 1.21.1, permite que qualquer aplicativo Flatpak elimine arquivos arbitrários no sistema host. Isso é alcançado através de um ataque de link simbólico (symlink attack) que explora a função gfiletrash. Um atacante poderia criar um link simbólico apontando para um arquivo crítico do sistema e, em seguida, um aplicativo Flatpak malicioso poderia usar a funcionalidade de 'lixeira' para excluir esse arquivo, causando potencialmente danos significativos ao sistema operacional ou aos dados do usuário. A gravidade desta vulnerabilidade reside em seu potencial para comprometer a segurança do sistema host, pois os aplicativos Flatpak, projetados para serem isolados, agora podem interagir perigosamente com o sistema subjacente.
O ataque explora a capacidade de um aplicativo Flatpak de interagir com a função gfiletrash do xdg-desktop-portal. Um atacante primeiro cria um link simbólico apontando para um arquivo sensível no sistema host. Em seguida, o aplicativo Flatpak, explorando esta vulnerabilidade, pode usar a função 'lixeira' para excluir o arquivo apontado pelo link simbólico. A chave do ataque é a falta de validação adequada de links simbólicos pelo xdg-desktop-portal, permitindo que um aplicativo Flatpak manipule arquivos fora de seu ambiente isolado. Este ataque é relativamente fácil de executar se um atacante tiver acesso à máquina e puder criar arquivos no sistema de arquivos.
Users of Linux distributions utilizing Flatpak for application sandboxing are at risk, particularly those running versions of xdg-desktop-portal prior to 1.21.1. This includes users who rely on Flatpak for secure application deployment and those who have granted Flatpak applications broad permissions.
• linux / server:
find /path/to/flatpak/data -type l -print0 | xargs -0 ls -l | grep '^l' # Check for suspicious symlinks within Flatpak data directories
journalctl -f | grep -i 'xdg-desktop-portal' # Monitor portal logs for unusual activitydisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o xdg-desktop-portal para a versão 1.21.1 ou superior. Os usuários do Flatpak devem atualizar seus pacotes através do gerenciador de pacotes preferido. Aplicar esta atualização o mais rápido possível é crucial para mitigar o risco de exploração. Além disso, revise os aplicativos Flatpak instalados e desinstale aqueles que não são confiáveis ou não são utilizados. Manter o sistema operacional e os aplicativos atualizados é uma prática de segurança fundamental para se proteger contra vulnerabilidades conhecidas. Para usuários que não podem atualizar imediatamente, exercem cautela ao executar aplicativos Flatpak desconhecidos ou não verificados.
Actualice xdg-desktop-portal a la versión 1.20.4 o superior, o a la versión 1.21.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de seguridad que permite a las aplicaciones Flatpak trastear archivos en el sistema host a través de un ataque de enlace simbólico. Asegúrese de actualizar todos los sistemas que utilicen xdg-desktop-portal.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
xdg-desktop-portal é um componente que permite que os aplicativos acessem recursos da área de trabalho, como seleção de arquivos, impressão e gerenciamento de janelas, de forma segura e padronizada.
O Flatpak é projetado para ser uma forma segura de distribuir aplicativos, mas, como qualquer software, pode ter vulnerabilidades. Esta vulnerabilidade é um exemplo de como até mesmo aplicativos isolados podem ser explorados se as devidas precauções não forem tomadas.
Se você estiver usando uma versão do Flatpak xdg-desktop-portal anterior a 1.20.4 ou na versão 1.21.x antes de 1.21.1, provavelmente está afetado. Verifique a versão instalada através do seu gerenciador de pacotes.
Se você não puder atualizar imediatamente, exercite cautela ao executar aplicativos Flatpak desconhecidos ou não verificados. Evite conceder permissões desnecessárias aos aplicativos Flatpak.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. A melhor defesa é manter seu sistema e aplicativos atualizados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.