Recientemente se ha hecho pública una vulnerabilidad de ejecución de código en tres visores de documentos PDF muy utilizados en el ecosistema GTK: Evince, Atril y Xreader. Este fallo, identificado como CVE-2026-46529, permite que un archivo PDF manipulado ejecute programas maliciosos en el equipo de quien lo abre, tan solo con hacer clic en un enlace dentro del propio documento.

¿En qué consiste CVE-2026-46529?

El investigador João Medeiros descubrió que Evince, Atril y Xreader trataban de forma insegura las cadenas de texto al construir la línea de mandatos para abrir un enlace dentro de un PDF. Con la ayuda de inteligencia artificial, Medeiros desarrolló una prueba de concepto que combina un PDF válido con un binario ejecutable (técnica conocida como «archivo políglota»).

Cuando la persona usuaria abre el PDF manipulado y hace clic en un enlace malicioso, el visor inyecta un argumento extra en su propia línea de mandatos:

--gtk-module=/ruta/al/archivo_malicioso.so

Esta opción, válida en todas las aplicaciones GTK3, ordena al programa que cargue una biblioteca compartida desde la ruta indicada. Dicha biblioteca puede ejecutar cualquier código al ser cargada, tomando el control del equipo sin que la persona usuaria lo advierta.

La gravedad del fallo resulta alta porque el ataque se completa con un solo clic y carece de la necesidad de que la víctima realice ninguna otra acción, como introducir contraseñas o descargar archivos adicionales.

¿Por qué los visores GTK4 están exentos del mismo riesgo?

Los programas que utilizan GTK4 (como Papers) ya no admiten el argumento --gtk-module en la línea de mandatos. Para cargar módulos GTK4 se necesita una variable de entorno, y el mecanismo de la vulnerabilidad impide inyectarla. Por esta razón, el impacto en aplicaciones GTK4 resulta mucho menor.

Versiones seguras disponibles en ALDOS

Los desarrolladores de la fuente primaria (upstream) han lanzado versiones corregidas de los tres visores y en ALDOS ya se encuentran disponibles.

Las versiones incluidas en ALDOS (48.4, 1.28.5 y 4.6.5) son posteriores a las versiones que contienen la corrección, lo que significa que los paquetes ya se encuentran protegidos.

Proteja su sistema

Para aplicar estas actualizaciones, basta con ejecutar los mandatos de actualización habituales:

yum clean all
yum update evince atril xreader

Resulta innecesario realizar ningún paso adicional. El sistema gestor de paquetes se encargará de descargar e instalar las versiones seguras.

Reflexión sobre las vulnerabilidades asistidas por inteligencia artificial

El descubrimiento y la explotación de CVE-2026-46529 han utilizado herramientas de inteligencia artificial para generar el archivo políglota. Michael Catanzaro, desarrollador de GNOME, señala que esta práctica, lejos de constituir un problema, mejora la seguridad general del ecosistema: «Las vulnerabilidades asistidas por inteligencia artificial son el nuevo estándar de la industria por una buena razón: resultan altamente efectivas».

Aunque pueda resultar incómodo que los atacantes utilicen estas mismas herramientas, la presión que ejercen sobre los mantenedores de equipamiento lógico libre para que corrijan los fallos con rapidez resulta beneficiosa para todas las personas usuarias.

Bibliografía

• Catanzaro, M. (2026). Single-Click Code Execution Exploit for Evince, Atril, and Xreader. Blog personal de Michael Catanzaro. Recuperado de blogs.gnome.org/mcatanzaro/2026/05/21/single-click-code-execution-exploit-for-evince-atril-and-xreader/

• Corbet, J. (2026). Vulnerabilities in various GTK-based PDF readers. LWN.net. Recuperado de lwn.net/Articles/1073944

• Medeiros, J. (2026). Repositorio de prueba de concepto para CVE-2026-46529. GitHub. Recuperado de github.com/joaom/evince-exploit (enlace pendiente de confirmación)

• Equipo de GNOME. (2026). Evince 48.4 release notes. Recuperado de gitlab.gnome.org/GNOME/evince/-/tags/48.4

• Equipo de MATE. (2026). Atril 1.28.5 release notes. Recuperado de github.com/mate-desktop/atril/releases/tag/v1.28.5

• Equipo de Linux Mint. (2026). Xreader 4.6.5 release notes. Recuperado de github.com/linuxmint/xreader/releases/tag/4.6.5

Agradecimiento

Agradecemos a João Medeiros por el descubrimiento y a Michael Catanzaro por la coordinación en la divulgación y corrección de esta vulnerabilidad. Su trabajo contribuye a que el equipamiento lógico libre sea más seguro para todas las personas.