CVE-2026-3888 : quand le nettoyage système d’Ubuntu offre un accès root
Des chercheurs en sécurité ont découvert une nouvelle faille de sécurité importante liée à l’installation des paquets Snap, sur la distribution Linux Ubuntu. Quels sont les risques ? Comment se protéger de la CVE-2026-3888 ? Voici l’essentiel à savoir.
Ce que l’on sait sur la CVE-2026-3888
Pour rappel, Snap est un format de paquets universel populaire, propulsé par Canonical, l’éditeur d’Ubuntu. Pour son fonctionnement, il s’appuie notamment sur le service snapd, qui gère l’installation et le sandboxing des applications.
Récemment, l’équipe de recherche de Qualys a fait la découverte d’une vulnérabilité importante, permettant une élévation de privilèges en local. Associée à la référence CVE-2026-3888 et à un score CVSS v3.1 de 7.8 sur 10, elle implique deux services : et . Un attaquant qui parviendrait à exploiter cette vulnérabilité peut donc obtenir un accès root sur la machine Linux.
Il faut savoir que est chargé de construire l’environnement isolé (le fameux bac à sable) de chaque application Snap, tandis que est là pour faire le ménage automatiquement dans les fichiers et dossiers temporaires. C’est d’ailleurs au niveau du dossier de données temporaires généré par Snap que l’attaquant peut exploiter cette vulnérabilité.
“Bien que le score CVSS indique un niveau de gravité élevé, la complexité de l’attaque est élevée en raison d’un mécanisme de délai inhérent à la chaîne d’exploitation. Dans les configurations par défaut, systemd-tmpfiles est programmé pour supprimer les données obsolètes dans le répertoire /tmp.”, peut-on lire.
Ce qu’il faut comprendre, c’est que la CVE-2026-3888 requiert une condition bien particulière pour être exploitée : le temps.
En effet, pour que l’élévation de privilèges soit possible et que l’attaquant obtienne les privilèges root, il doit attendre que entre en action pour supprimer le répertoire temporaire d’une application Snap déjà installée. Ce nettoyage n’est déclenché qu’après une période d’inactivité :
- 30 jours d’attente sur Ubuntu 24.04 LTS.
- 10 jours d’attente sur la récente version Ubuntu 25.10.
C’est une réelle contrainte qui complexifie l’attaque. Malgré tout, cette vulnérabilité est à prendre au sérieux : elle affecte les installations par défaut d’Ubuntu.
Comment se protéger ?
La CVE-2026-3888 affecte toutes les machines Ubuntu Desktop (avec un environnement de bureau) avec la version Ubuntu 24.04 LTS ou une version supérieure. La version Ubuntu 25.10 est donc affectée également.
Canonical a d’ores et déjà publié des correctifs de sécurité intégrés aux nouvelles versions de . Il est recommandé d’appliquer ce correctif de sécurité en mettant à jour votre machine.
Voici un résumé pour chaque version d’Ubuntu :
| Version Ubuntu (Release) | Version de snap avec le patch |
| 25.10 questing | 2.73+ubuntu25.10.1 |
| 24.04 LTS noble | 2.73+ubuntu24.04.1 |
| 22.04 LTS jammy | 2.73+ubuntu22.04.1 |
| 20.04 LTS focal | 2.67.1+20.04ubuntu1~esm1 (Ubuntu Pro) |
| 18.04 LTS bionic | 2.61.4ubuntu0.18.04.1+esm2 (Ubuntu Pro) |
| 16.04 LTS xenial | 2.61.4ubuntu0.16.04.1+esm2 (Ubuntu Pro) |
“Systèmes hérités (16.04–22.04 LTS) : bien qu’ils ne soient pas vulnérables dans leurs configurations par défaut, il est recommandé d’appliquer le correctif à ces versions également.”, précise le rapport.
Enfin, sachez que les équipes de Qualys ont également identifié une autre faille de sécurité au sein du paquet . Cette vulnérabilité affecte uniquement la version Ubuntu 25.10.