Vulnerabilidad en Yggdrasil (CVE-2025-3931)

Se encontró una falla en Yggdrasil, que actúa como intermediario del sistema, permitiendo que los procesos se comuniquen con los procesos "worker" de otros subordinados a través del componente DBus. Yggdrasil crea un método DBus para enviar mensajes a los trabajadores. Sin embargo, omite las comprobaciones de autenticación y autorización, lo que permite que cualquier usuario del sistema lo invoque. Un trabajador de Yggdrasil disponible actúa como gestor de paquetes, con la capacidad de crear y habilitar nuevos repositorios e instalar o eliminar paquetes. Esta falla permite a un atacante con acceso al sistema aprovechar la falta de autenticación en el mensaje de envío para forzar al trabajador de Yggdrasil a instalar paquetes RPM arbitrarios. Este problema provoca una escalada de privilegios local, lo que permite al atacante acceder y modificar datos confidenciales del sistema.