Se ha identificado una vulnerabilidad de escalación local de privilegios (LPE) en las instalaciones por defecto de Ubuntu Desktop 24.04 y versiones posteriores que permite a un atacante local sin privilegios obtener acceso completo como root. Clasificada como CVE-2026-3888 y reportada por The Qualys Threat Research Unit, esta falla afecta componentes centrales del sistema, snap-confine y systemd-tmpfiles, creando un riesgo crítico para la confidencialidad, integridad y disponibilidad del sistema afectado.
CVE y severidad
CVE-2026-3888 presenta una puntuación CVSS v3.1 de 7.8 (Alta), lo que indica que requiere acceso local con privilegios bajos y no necesita interacción del usuario. Aunque su complejidad de explotación es alta, permite un cambio de alcance (Scope Changed), facilitando la escalación de privilegios y el acceso a recursos fuera del componente vulnerable.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Canonical | Ubuntu Desktop | snapd / snap-confine / systemd-tmpfiles | Ubuntu 24.04 LTS con versiones de snapd anteriores a 2.73+ubuntu24.04.1Ubuntu 25.10 con versiones de snapd anteriores a 2.73+ubuntu25.10.1Ubuntu 26.04 LTS (Development) con versiones de snapd anteriores a 2.74.1+ubuntu26.04.1Versiones anteriores a 2.75 | Linux (Ubuntu Desktop 24.04 y posteriores) |
Solución
Se recomienda actualizar el paquete snapd a las versiones corregidas según la distribución utilizada:
-
En Ubuntu 24.04 LTS, actualizar a la versión 2.73+ubuntu24.04.1 o superior.
-
En Ubuntu 25.10, actualizar a la versión 2.73+ubuntu25.10.1 o superior.
-
En Ubuntu 26.04 LTS (Development), actualizar a la versión 2.74.1+ubuntu26.04.1 o superior.
-
Para implementaciones de snapd upstream, actualizar a la versión 2.75 o superior.
Los sistemas antiguos que utilizan Ubuntu 16.04 a 22.04 LTS no presentan vulnerabilidad en su configuración por defecto; no obstante, Qualys aconseja aplicar el parche de forma preventiva en entornos con configuraciones personalizadas que puedan asemejarse al comportamiento de versiones más recientes.
Recomendaciones
Priorizar la aplicación inmediata de las actualizaciones para snapd en los sistemas afectados y validar la correcta instalación; para sistemas heredados con configuraciones no estándar considerar aplicar el parche como medida preventiva.