Im Zentrum der von Qualys beschriebenen Schwachstelle steht ein Konflikt zwischen zwei Standardkomponenten von Ubuntu. snap-confine richtet für Snap-Anwendungen eine abgeschottete Ausführungsumgebung ein, während systemd-tmpfiles dafür zuständig ist, temporäre Dateien und Verzeichnisse automatisch zu entfernen, sobald sie ein definiertes Alter überschreiten. Betroffen sind dabei Pfade wie /tmp, /run und /var/tmp.

“Diese Schwachstelle (CVE-2026-3888) erlaubt es einem nicht privilegierten lokalen Angreifer, durch das Zusammenspiel zweier gewöhnlicher Systemkomponenten – snap-confine und systemd-tmpfiles – seine Rechte bis zu vollem Root-Zugriff auszuweiten”, erklärte die Qualys Threat Research Unit (TRU). “Zwar setzt der Exploit ein bestimmtes zeitbasiertes Fenster von 10 bis 30 Tagen voraus, doch das Ergebnis ist eine vollständige Kompromittierung des Hostsystems.”

Der Angriff nutzt aus, dass systemd-tmpfiles in den Standardkonfigurationen so eingerichtet ist, dass es veraltete Daten in /tmp entfernt. Laut Qualys kann ein Angreifer diesen Mechanismus ausnutzen, indem er den zeitlichen Ablauf dieser Aufräumzyklen manipuliert. Der Angriff erfordert nur geringe Rechte und keine Nutzerinteraktion; die hohe Angriffskomplexität ergibt sich aus dem in die Exploit-Kette eingebauten Zeitverzögerungsmechanismus.

Die Schwachstelle wurde nach Angaben von Qualys in entsprechend aktualisierten Versionen behoben.

Im Zuge der Untersuchung stieß Qualys zudem auf eine Race-Condition-Schwachstelle im Paket uutils coreutils. Sie erlaubt es einem nicht privilegierten lokalen Angreifer, während root-eigener cron-Ausführungen Verzeichniseinträge durch symbolische Verknüpfungen (Symlinks) zu ersetzen.

“Eine erfolgreiche Ausnutzung könnte zum Löschen beliebiger Dateien mit Root-Rechten oder zu weiterer Rechteausweitung führen, indem die Snap-Sandbox-Verzeichnisse ins Visier genommen werden”, so das Sicherheitsunternehmen. Die Lücke sei vor der öffentlichen Freigabe von Ubuntu 25.10 gemeldet und entschärft worden. Um das Risiko unmittelbar zu mindern, sei der Standardbefehl rm in Ubuntu 25.10 wieder auf GNU coreutils zurückgesetzt worden. Entsprechende Korrekturen wurden inzwischen im uutils-Repository eingespielt.