CVE-2026-41651: PackageKit 交易標誌上的 TOCTOU 競態條件漏洞

• 安全公告編號: SE2026-001
• 版本: 1.0
• 發布日期: 2026-04-22
• 參考資料:
  • 資訊科技實驗室:國家脆弱性資料庫(CVE-2026-41651)
  • 紅帽產品安全中心(CVE-2026-41651)

摘要

PackageKit 中發現了一個漏洞。交易標誌上的檢查時間-使用時間 (TOCTOU) 競爭條件允許非特權使用者以 root 使用者身分安裝軟體包，從而導致本地權限提升。

CVE ID: CVE-2026-41651
CVSSv3 指標
-評分: 8.8
-向量: /AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
-嚴重性: 高 

影響範圍

Red Hat Enterprise Linux 9: PackageKit
Red Hat Enterprise Linux 8: PackageKit

---

解決方案

PackageKit 更新

修補程式: 
scada9-patch_20260507.tgz
scada8-patch_20260508.tgz

緩解措施

PackageKit 服務 停止 & 阻斷 
sudo systemctl stop packagekit.service
sudo systemctl mask packagekit.service