Disponibles nuevas versiones de Atril, Evince y Xreader que corrigen el CVE-2026-46529.
Recientemente se ha hecho pública una vulnerabilidad de ejecución de código en tres visores de documentos PDF muy utilizados en el ecosistema GTK: Evince, Atril y Xreader. Este fallo, identificado como CVE-2026-46529, permite que un archivo PDF manipulado ejecute programas maliciosos en el equipo de quien lo abre, tan solo con hacer clic en un enlace dentro del propio documento.
¿En qué consiste CVE-2026-46529?
El investigador João Medeiros descubrió que Evince, Atril y Xreader trataban de forma insegura las cadenas de texto al construir la línea de mandatos para abrir un enlace dentro de un PDF. Con la ayuda de inteligencia artificial, Medeiros desarrolló una prueba de concepto que combina un PDF válido con un binario ejecutable (técnica conocida como «archivo políglota»).
Cuando la persona usuaria abre el PDF manipulado y hace clic en un enlace malicioso, el visor inyecta un argumento extra en su propia línea de mandatos:
--gtk-module=/ruta/al/archivo_malicioso.soEsta opción, válida en todas las aplicaciones GTK3, ordena al programa que cargue una biblioteca compartida desde la ruta indicada. Dicha biblioteca puede ejecutar cualquier código al ser cargada, tomando el control del equipo sin que la persona usuaria lo advierta.
La gravedad del fallo resulta alta porque el ataque se completa con un solo clic y carece de la necesidad de que la víctima realice ninguna otra acción, como introducir contraseñas o descargar archivos adicionales.
¿Por qué los visores GTK4 están exentos del mismo riesgo?
Los programas que utilizan GTK4 (como Papers) ya no admiten el argumento --gtk-module en la línea de mandatos. Para cargar módulos GTK4 se necesita una variable de entorno, y el mecanismo de la vulnerabilidad impide inyectarla. Por esta razón, el impacto en aplicaciones GTK4 resulta mucho menor.
Versiones seguras disponibles en ALDOS
Los desarrolladores de la fuente primaria (upstream) han lanzado versiones corregidas de los tres visores y en ALDOS ya se encuentran disponibles.
| Programa | Versión vulnerable | Versión corregida | Versión en ALDOS |
|---|---|---|---|
| Evince | anteriores a 48.2 | 48.2 o superior | 48.4 |
| Atril | anteriores a 1.28.4 | 1.28.4 o superior | 1.28.5 |
| Xreader | anteriores a 4.6.4 | 4.6.4 o superior | 4.6.5 |
Las versiones incluidas en ALDOS (48.4, 1.28.5 y 4.6.5) son posteriores a las versiones que contienen la corrección, lo que significa que los paquetes ya se encuentran protegidos.
Proteja su sistema
Para aplicar estas actualizaciones, basta con ejecutar los mandatos de actualización habituales:
yum clean all
yum update evince atril xreaderResulta innecesario realizar ningún paso adicional. El sistema gestor de paquetes se encargará de descargar e instalar las versiones seguras.
Reflexión sobre las vulnerabilidades asistidas por inteligencia artificial
El descubrimiento y la explotación de CVE-2026-46529 han utilizado herramientas de inteligencia artificial para generar el archivo políglota. Michael Catanzaro, desarrollador de GNOME, señala que esta práctica, lejos de constituir un problema, mejora la seguridad general del ecosistema: «Las vulnerabilidades asistidas por inteligencia artificial son el nuevo estándar de la industria por una buena razón: resultan altamente efectivas».
Aunque pueda resultar incómodo que los atacantes utilicen estas mismas herramientas,…