La comunidad que desarrolla el cliente de correo Thunderbird sigue trabajando en hacer realidad Thundermail, Appointmet y Send

Ya hace un año la comunidad de Thunderbird dió a conocer el ambicioso proyecto en el que estaban trabajando, sin descuidar su cliente de correo. Se trataba de ThunderbirdPro que incluye un servicio propio de correo llamado Thundermail, una herramienta para organizar calendarios y encuentros llamada Appointment y otro servicio para compartir archivos llamado Send.

En el blog ya di cuenta de la noticia hace un año:

• https://victorhckinthefreeworld.com/2025/05/21/thundermail-y-thunderbird-pro-los-nuevos-servicios-de-thunderbird/

Vamos a echar un vistazo hoy a las novedades del proyecto y cómo va el desarrollo.

Thundermail

Se trata de un servicio de correo gestionado y creado por la comunidad de Thunderbird. Se está desarrollando un nuevo flujo de conexión que hará que sea mucho más fácil agregar una cuenta Thundermail a Thunderbird, incluyendo opciones como la configuración del código QR y una integración más profunda dentro de la aplicación, además de otros aspectos de utilización y primera experiencia.

El panel de gestión de la cuenta se ha actualizado para ofrecer una apariencia más limpia, una incorporación más fluida y un acceso más fácil a los detalles clave que interesan como usuario. La configuración de ajustes como contraseñas de aplicaciones, dominios personalizados y alias ahora es más visible al gestionarla la primera vez.

Eso en cuanto a la gestión de la nueva cuenta en su servicio de correo, pero para poner en marcha un servicio así hace falta un gran trabajo detrás. Por el lado de la infraestructura, continuan mejorando la estabilidad y el rendimiento. Esto incluye el trabajo completado para actualizar Stalwart para fortalecer la detección de spam para que los correos electrónicos legítimos tengan muchas menos probabilidades de terminar en spam, junto con mejoras en la forma en que se monitorean los servicios para que los problemas sean más fáciles de detectar y menos probable que afecten a los usuarios.

Y siguen trabajando y mejorando cosas como:

• Una capa final de pulido en toda la experiencia entre la aplicación web, los complementos y los flujos de escritorio.
• Finalmente: Webmail está ascendiendo en su lista de prioridades. El desarrollo avanza activamente y su objetivo es brindar una experiencia utilizable mucho antes de lo planeado.

Appointment

Han progresado en la fiabilidad y el rendimiento del backend, incluidas mejoras en la forma en que se procesan las tareas del calendario y correcciones en el manejo de eventos.

Ahora las prioridades de cara al lanzamiento también se centran en mantener la fiabilidad, con mejoras en las conexiones del calendario, sincronización de eventos, acceso a Zoom y un flujo de configuración más simple en la primera impresión.

Send

Han realizado mejoras visuales sustanciales para que parezca una parte más natural de Thunderbird Pro. También han realizado una serie de mejoras de seguridad y continuan evaluando opciones de infraestructura para garantizar la fiabilidad a largo plazo.

Las prioridades para Send en los próximos meses incluyen un mejor manejo de las claves de cifrado y descargas protegidas con contraseña de una manera más clara.

¿Quieres ser de los primeros en probar este servicio experimental que será de pago? En breve mandarán las primeras invitaciones. Apúntate si no lo has hecho y verás en primera persona qué puede ofrecer este servicio ThunderbirdPro y dar tus aportes para diferentes mejoras:

• https://tb.pro/es-ES/waitlist/

Tienes el anuncio oficial en este enlace:

• https://blog.thunderbird.net/2026/04/thunderbird-pro-april-2026-update/

It is with great joy that I officially announce the release in the openSUSE family (Leap and Tumbleweed) of the new package focused on cryptography resistant to the post-quantum era.

The libzupt library is designed to offer encryption and decryption of files and binary data in memory using a hybrid approach based on ML-KEM-768 + X25519.

libzupt is a modern SDK that simplifies the adoption of post-quantum cryptography in real-world applications. Currently, it has initial support for C++, Python, and Java, with support for Node.js (under development). Its goal is to make the implementation of advanced cryptographic mechanisms accessible without compromising usability for developers.

libzupt, created by Alessandro de Oliveira Faria, is a modern SDK that simplifies the adoption of post-quantum cryptography in real-world applications. Currently, it has initial support for C++, Python, and Java, with Node.js support (under development). Its goal is to make the implementation of advanced cryptographic mechanisms accessible without compromising usability for developers.

The project originates from the Zupt initiative, conceived by Cristian Cezar Moisés. As a tribute, the library inherited the name of the original project. Zupt, in turn, is a compression and backup tool that already incorporated advanced concepts such as authenticated AES-256 encryption and post-quantum key encapsulation.

The motivation behind libzupt is directly linked to the evolution of modern cryptography. The ML-KEM algorithm was standardized by NIST on August 13, 2024, as a secure key encapsulation mechanism for post-quantum scenarios. It allows for the secure establishment of keys even in insecure channels, anticipating future threats.

Below is a simple example of using libzupt in Python:

import zupt
encryptor = zupt.Encryptor(keypair.public_key)
message = b"Hello, Post-Quantum World! This is a secret message."
ciphertext, enc_header = encryptor.encrypt(message)

The main benefit of natively providing this library in openSUSE, is that it allows current applications to be prepared for a scenario where quantum computing could compromise classical algorithms, such as Shor’s Algorithm.

By combining traditional cryptography with mechanisms resistant to quantum computing, libzupt adds a strategic layer of protection. This enables the development of more resilient systems, ensuring the confidentiality and integrity of data in the long term, even in the face of technological evolution.

For more information, go to software opensuse or the source.

Es increíble el trabajo de promoción que está realizando Nate (ahora con ayuda de otros desarrolladores) en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Más sofisticación en Discover y mayor eficiencia energética» de Esta semana en Plasma. Espero que os guste.

Más sofisticación en Discover y mayor eficiencia energética – Esta semana en Plasma

Nota: Artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis escasos comentarios sobre las mejoras entre corchetes.

Mejoras notables

Plasma 6.7

El widget del menú de aplicaciones Kicker ahora puede configurarse para mostrar un elemento «Ubicaciones recientes». (Christoph Wolk, KDE Bugzilla #420951)

Las conexiones de red ahora pueden duplicarse. (Kartikeya Tyagi, KDE Bugzilla #499188) [Se me escapa la utilidad de hacerlo a no ser que sea para hacer pruebas].

Ahora existe una nueva regla de ventana «tiene ventana padre» que puedes usar para apuntar específicamente a ventanas de diálogo hijas. (Kai Uwe Broulik, kwin MR #8969)

Mejoras en la interfaz de usuario

Plasma 6.6.5

Arrastrar un resultado de búsqueda de una página de Configuración del Sistema al escritorio ahora crea un lanzador a esa página, como se esperaría. Esto completa un mini-proyecto para mejorar el arrastrar y soltar elementos al escritorio que comenzamos hace un tiempo. (Antti Savolainen, KDE Bugzilla #500259) [Esto mola, y mucho].

Plasma 6.7

Discover ahora tiene cabeceras de páginas de aplicaciones más elegantes con botones de instalación más evidentes. (Oliver Beard, discover MR #1297) [Discover sigue evolucionando para ser el mejor amigo del usuario].

Discover ya no desactiva el botón «Más información» en elementos de lista para actualizaciones en progreso. (Tobias Fella, KDE Bugzilla #431719)

Discover maneja mejor el caso raro en el que una actualización automática de una aplicación Flatpak introduce un problema de compatibilidad del que no puedes recuperarte fácilmente. Ahora te advertirá una sola vez en lugar de hacerlo continuamente. (Tobias Fella, KDE Bugzilla #509760)

Ahora puedes arrastrar aplicaciones favoritas fuera de sus áreas en Kicker y Dashboard para dejar de marcarlas como favoritas. ¡Kickoff llegará pronto también! (Christoph Wolk, plasma-desktop MR #3665 y KDE Bugzilla #518749)

Cuando tu portátil está enchufado con la carga máxima, hacer algo que cambie el perfil de energía a uno no predeterminado ahora muestra solo el ícono del perfil de energía en la bandeja del sistema, y omite el ícono de batería completamente cargada porque esa parte es obvia. (Nate Graham, KDE Bugzilla #518802) [Interesante la filosofía de mostrar solo la información relevante].

Se mejoraron algunas etiquetas con redacción incómoda en Configuración del Sistema y Plasma. (Philipp Kiemle, plasma-desktop MR #3674 y plasma-workspace MR #6522)

Frameworks 6.26

Se redujo la cantidad de desenfoque visible en los íconos en aplicaciones basadas en QtQuick que usan el componente Kirigami.Icon cuando se utiliza un factor de escala fraccional bajo como 150% o menos. (Volodymyr Zolotopupov, kirigami MR #2070)

Se añadió un proveedor de búsqueda para startpage.com, para que puedas buscar allí desde KRunner. (Antti Savolainen, KDE Bugzilla #503976)

Corrección de errores importantes

[No comento las correcciones de errores ya que son bastante evidentes].

Plasma 6.6.5

Se corrigió un caso en el que el gestor de inicio de sesión de Plasma podía bloquearse al conectar y desconectar varios monitores mientras la pantalla de inicio de sesión está visible. (David Edmundson, KDE Bugzilla #519302)

Se corrigieron algunos casos en los que Plasma podía bloquearse al iniciar sesión. (David Edmundson, plasma-workspace MR #6520)

Se corrigieron varios problemas de accesibilidad: la repetición de teclas no funcionaba en el lector de pantalla Orca y varios elementos de la interfaz no se leían correctamente. (Nicolas Fella, KDE Bugzilla #519143, KDE Bugzilla #519333 y KDE Bugzilla #519217)

Se solucionó un problema complicado en Spectacle que podía hacer que las imágenes grandes no se copiaran automáticamente al portapapeles justo después de cerrar la aplicación. (David Edmundson, KDE Bugzilla #509065)

Se corrigió otra causa del problema por el que las ventanas a pantalla completa que perdían el foco podían aparecer a veces de forma inapropiada en la parte superior de la pila de ventanas. (Xaver Hugl, KDE Bugzilla #484155)

Se solucionó un fallo de diseño en la página de colores de Configuración del Sistema que podía hacer que los elementos de la interfaz de las vistas previas de color se desbordaran al usar algunas fuentes y tamaños de fuente no predeterminados. (Akseli Lahtinen, KDE Bugzilla #516413)

Cambiar el brillo o cualquier ajuste de pantalla ya no termina las grabaciones de región rectangular de Spectacle. (Xaver Hugl, kwin MR #9127)

Frameworks 6.26

Se corrigieron algunos fallos visuales alrededor de los botones de opción en el widget de volumen de audio. (David Edmundson, ksvg MR #103)

Mejoras de rendimiento y aspectos técnicos

Plasma 6.6.5

Se corrigió un problema que hacía que la página de Pantalla táctil de Configuración del Sistema apareciera mientras la función «resaltar ajustes modificados» está activada, incluso si no tienes una pantalla táctil. (Jin Liu, KDE Bugzilla #518868)

Plasma 6.7

Se activó la función «planos de superposición» para GPUs Intel, lo que debería mejorar el rendimiento y ahorrar algo de energía al usar juegos y aplicaciones cooperativos. (Xaver Hugl, kwin MR #8699)

Se mejoró la eficiencia energética para ventanas a pantalla completa y efectos que no obtienen ningún beneficio de usar la función «escaneo directo»; ahora solo la usarán si realmente ahorra energía. (Xaver Hugl, kwin MR #9120)

Cómo puedes ayudar

KDE se ha vuelto importante en el mundo, y tu tiempo y contribuciones han ayudado a llegar hasta aquí. A medida que crecemos, necesitamos tu apoyo para mantener KDE sostenible.

¿Te gustaría ayudar a preparar este informe semanal? Preséntate en la sala de Matrix y únete al equipo.

Más allá de eso, puedes ayudar a KDE involucrándote directamente en cualquier otro proyecto. Donar tiempo es realmente más impactante que donar dinero. Cada colaborador marca una gran diferencia en KDE — ¡no eres un número ni un engranaje en una máquina! No tienes que ser programador, existen muchas otras oportunidades.

También puedes ayudar haciendo una donación. Esto ayuda a cubrir costes operativos, salarios, gastos de viaje para colaboradores y, en general, a mantener KDE llevando Software Libre al mundo.

La entrada Más sofisticación en Discover y mayor eficiencia – Esta semana en Plasma se publicó primero en KDE Blog.

This is a roundup of articles from the openSUSE community listed on planet.opensuse.org.

The community blog feed aggregator lists the featured highlights below from April 17 to 23.

Blogs this week cover a Tumbleweed weekly review delivering seven snapshots with notable updates including GNOME 50, KDE Plasma 6.6.4, and Linux kernel 6.19.12. The week also features the venue announcement for openSUSE.Asia Summit 2026 in Yogyakarta, a SUSE Security Team winter spotlight, performance tuning improvements in syslog-ng, a hands-on look at Cockpit as a YaST replacement, and more.

Here is a summary and links for each post:

Kookbook Updates to Version 0.3.0

The KDE Blog covers the 0.3.0 release of Kookbook, a recipe management application created by KDE developer Sune Vuorela. The update brings minor bug fixes along with a migration to Qt6. The application stores recipes as Markdown files and offers ingredient indexing, tag-based organization, and flexible synchronization through external tools like Git or Nextcloud.

Testing Cockpit, the YaST Replacement in openSUSE Tumbleweed

Victorhck in the Free World explores Cockpit, the web-based system management tool that is replacing YaST in openSUSE. After installing the cockpit-client-launcher and resolving missing GTK dependencies, the author found the interface clean and well-organized with familiar configuration options alongside modern features for managing storage, networks, and software repositories.

New Performance Tuning Possibilities in syslog-ng

Peter Czánik’s Blog discusses performance enhancements coming to syslog-ng 4.12 that achieved seven million events per second under laboratory conditions. While the figure represents a benchmark rather than a real-world deployment number, Peter explains that the underlying technologies are already available on the development branch or have existed for some time but lacked sufficient promotion and testing.

Best JPG to PDF Converters for Speed and Ease

The KDE Blog evaluates a range of JPG to PDF conversion tools, from desktop options like KDE Plasma’s Service Menus to online platforms such as Adobe Acrobat Online and iLovePDF. The post weighs each tool’s strengths regarding conversion speed, ease of use, and privacy, and also covers mobile solutions like CamScanner for document digitization.

AI Workshop at Linux Center Valencia

The KDE Blog announces a free AI-focused event organized by Slimbook at their Linux Center facility in Paterna, Valencia on April 25, 2026. The workshop features three sessions: an overview of current AI tools, a hands-on tutorial for running AI locally using Ollama and Fox, and an advanced session on creating autonomous AI assistants for personal computers.

From Virtual Desktop Deployment to Running Local AI – New Barcelona Free Software Talk

The KDE Blog announces a Barcelona Free Software talk on Tuesday April 28, 2026 at 19:00 at Akasha Hub in Barcelona, featuring Alberto Larraz, co-founder of IsardVDI. The talk traces IsardVDI’s 14-year journey from a Free Software alternative to Citrix and VMware Horizon in educational settings to a versatile platform that now leverages GPU management to run local AI inference workloads. Attendees will learn how IsardVDI can be used to generate images, run LLM chats, and power local code assistants using sovereign AI models.

SUSE Security Team Spotlight Winter 2025/2026

The SUSE Security Team winter report documents code review activities across multiple software projects. The team examined systemd releases v258 through v260, snapd transparency features, various D-Bus services including bootkitd and rtkit, and investigated SteamOS and Deepin desktop components. A revisit of Deepin software revealed persistent vulnerabilities in the accounts service, prompting the team to deprioritize future Deepin reviews.

openSUSE.Asia Summit 2026 Announces Venue at Universitas Gadjah Mada

openSUSE News announces that the openSUSE.Asia Summit 2026 will be held October 3–4 at the Teaching Industry Learning Center of Universitas Gadjah Mada in Yogyakarta, Indonesia. Organizers anticipate around 350 participants over two days of talks, workshops, and community activities. The venue was selected for its modern facilities and the university’s strong reputation as a leading Indonesian institution focused on education, research, and innovation.

Per-Screen Virtual Desktops and Wayland Session Restore – This Week in Plasma

The KDE Blog covers the latest This Week in Plasma highlights, including a major new feature in Plasma 6.7 that allows each monitor to independently switch between virtual desktops. KWin has also gained support for the Wayland session management protocol, paving the way for applications to remember their size and position after a system restart. The edition also rounds up numerous UI improvements, such as drag-and-drop support for app launchers, a new standard Badge component in Kirigami, and a range of bug fixes across Plasma 6.6.4, 6.6.5, and 6.7.

Hello Old New ‘Projects’ Directory!

Matthias Klumpp’s Blog introduces the xdg-user-dirs 0.20 release, which now enables a Projects directory by default in Linux home folders. The folder offers a standardized location for project files that do not cleanly belong in existing categories like Documents or Music. Users who prefer the old layout can simply delete the folder and the utility will adjust accordingly, while administrators can customize default locations through configuration files.

Tumbleweed – Review of the Week 2026/16

Victorhck and dimstar cover a busy week with seven Tumbleweed snapshots delivered in seven days across snapshots 0410 through 0416. Major updates included GNOME 50, KDE Plasma 6.6.4, Samba 4.23.6, PHP 8.4.20, GStreamer 1.28.2, and Linux kernel 6.19.12, along with improvements to transactional-update’s soft-reboot functionality. Looking ahead, the team is preparing significant upgrades such as Linux kernel 7.0, LLVM 22, and GCC 16 as the system compiler.

Episode 72 of KDE Express: Plasma 6.6.4, Gear 26.04 and More News

The KDE Blog shares the latest episode of KDE Express, a Spanish-language podcast covering the KDE community and open source software. The episode highlights significant releases including Plasma 6.6.4 and KDE Gear 26.04, along with developments across various KDE applications and distributions.

View more blogs or learn to publish your own on planet.opensuse.org.

O lançamento do Origin Pilot representa um marco importante na evolução da computação quântica, não apenas pelo avanço tecnológico em si, mas pela mudança estratégica que propõe na forma como sistemas quânticos são desenvolvidos, integrados e disponibilizados ao mundo. Trata-se de uma iniciativa que vai além das tradicionais bibliotecas ou frameworks de programação quântica, posicionando-se como uma camada fundamental da infraestrutura, o sistema operacional responsável por orquestrar toda a interação entre hardware quântico e sistemas clássicos.

O Origin Pilot, desenvolvido pela empresa chinesa Origin Quantum, foi disponibilizado publicamente como software open source, algo inédito no contexto de sistemas operacionais quânticos. Essa abertura marca uma ruptura com o modelo tradicional, onde o controle do stack tecnológico quântico desde o hardware até o software permanece fechado e altamente proprietário. Ao permitir o download e uso livre do sistema, a iniciativa busca reduzir barreiras de entrada e acelerar a adoção global da computação quântica, especialmente por universidades, startups e centros de pesquisa que não possuem infraestrutura completa própria.

Diferentemente de ferramentas como Qiskit ou Cirq, que operam em níveis mais altos da pilha tecnológica, o Origin Pilot atua em uma camada mais profunda: a de integração e gerenciamento do sistema. Ele funciona como um intermediário entre diferentes tipos de hardware quântico como qubits supercondutores, íons aprisionados e átomos neutros e os aplicativos desenvolvidos pelos usuários. Essa abordagem permite a criação de um ambiente unificado capaz de lidar com a heterogeneidade dos dispositivos quânticos, um dos maiores desafios atuais da área.

Do ponto de vista técnico, o sistema incorpora funcionalidades essenciais para o funcionamento eficiente de computadores quânticos. Entre elas estão o agendamento de tarefas quânticas, a alocação de qubits, a calibração automática dos sistemas e a execução paralela de múltiplos programas quânticos. Essas capacidades são críticas em ambientes NISQ (Noisy Intermediate-Scale Quantum), onde os recursos são limitados e altamente sensíveis a erros. O Origin Pilot também promove a integração entre computação clássica e quântica, permitindo pipelines híbridos que combinam CPUs, GPUs e QPUs em um mesmo fluxo de processamento.

Outro aspecto relevante é a capacidade do sistema de lidar com problemas específicos da computação quântica que não existem no mundo clássico. Questões como decoerência, ruído quântico e necessidade constante de recalibração exigem mecanismos sofisticados de controle em tempo real. O Origin Pilot incorpora algoritmos e estratégias voltadas para esses desafios, como o mapeamento eficiente de qubits e a otimização da fidelidade dos circuitos quânticos, garantindo melhor aproveitamento dos recursos disponíveis.

A proposta do Origin Pilot também carrega implicações estratégicas e geopolíticas. Ao disponibilizar gratuitamente uma camada de integração que ainda não possui equivalente aberto no Ocidente, a China pode influenciar diretamente o padrão de desenvolvimento global da computação quântica. Instituições ao redor do mundo podem optar por adotar esse sistema como base para seus projetos, o que, ao longo do tempo, cria um ecossistema dependente das abstrações, interfaces e arquiteturas definidas pela plataforma. Essa dinâmica lembra movimentos recentes no campo da inteligência artificial, onde a abertura de modelos e ferramentas levou à rápida expansão de determinados ecossistemas tecnológicos.

Além disso, o Origin Pilot faz parte de um esforço mais amplo de construção de uma infraestrutura quântica completa, que inclui hardware próprio, plataformas de nuvem quântica e ferramentas de desenvolvimento. Essa abordagem verticalizada busca reduzir a dependência de tecnologias estrangeiras e consolidar uma cadeia de valor autossuficiente. A disponibilização do sistema operacional como open source não apenas fortalece essa estratégia, mas também posiciona o país como um potencial definidor de padrões tecnológicos na próxima geração da computação.

Do ponto de vista do desenvolvedor, o impacto pode ser significativo. A existência de um sistema operacional quântico acessível permite experimentar com arquiteturas completas, sem a necessidade de construir toda a camada de integração do zero. Isso pode acelerar o desenvolvimento de aplicações práticas em áreas como criptografia, otimização, simulação de materiais e inteligência artificial quântica. Ao mesmo tempo, cria-se um novo paradigma de desenvolvimento, onde entender o comportamento do hardware e sua interação com o software passa a ser tão importante quanto escrever algoritmos quânticos.

Em síntese, o Origin Pilot não deve ser visto apenas como mais uma ferramenta no ecossistema quântico, mas como um passo em direção à maturidade da computação quântica como plataforma.

Assim como os sistemas operacionais clássicos foram fundamentais para a popularização dos computadores pessoais, iniciativas como essa podem desempenhar papel semelhante no futuro da computação quântica, definindo como os sistemas serão construídos, utilizados e evoluídos nas próximas décadas.

Referências:
https://www.globaltimes.cn/page/202602/1355718.shtml
https://postquantum.com/quantum-computing/china-quantum-os-origin-pilot/
https://medium.com/%40noahbean3396/quantum-computers-need-a-new-kind-of-operating-system-the-first-generation-just-arrived-aeeaa0c9bb60
https://en.chinadiplomacy.org.cn/2026-03/19/content_118390706.shtml

Download: https://qcloud.originqc.com.cn/en/programming/pilotos

Table of Contents

• 1) Introduction
• 2) Helper Overview
• 3) Security Issues
  • 3.a) Arbitrary chown() via Symlink Attack in sync() Method
  • 3.b) Arbitrary File Deletion in reset() Method
  • 3.c) Symlink Attack via /var/lib/plasmalogin/wallpapers in save() Method
  • 3.d) Missing Integrity Check of Configuration Data in save() Method
  • 3.e) Lack of File Descriptor and File Size Verification in save() Method
• 4) Suggested Fixes
• 5) Severity
• 6) Upstream Bugfix
• 7) CVE Assignment
• 8) Timeline
• 9) References

1) Introduction

In recent releases of the KDE desktop environment a fork of the SDDM display manager called plasma-login-manager has been integrated. As usual this led to a review in our team for the privileged D-Bus components contained in the package. While most of the code remains the same, the new upstream added a privileged D-Bus helper called plasmaloginauthhelper, which suffers from defense-in-depth security issues. The full details of the issues will be discussed in the following sections.

For this review we looked into plasma-login-manager version 6.6.2.

2) Helper Overview

plasmaloginauthhelper makes the D-Bus interface “org.kde.kcontrol.kcmplasmalogin” accessible to all users in the system via the D-Bus system bus. It offers three actions sync(), reset() and save() which are all by default protected by Polkit’s auth_admin setting.

These methods allow to manage configuration data stored in the home directory of the plasmalogin service user, which has a preset of /var/lib/plasmalogin. The helper runs with full root privileges and interprets various client-supplied data. The plasmalogin home directory has the following permissions:

drwxr-x--- 5 plasmalogin plasmalogin 4.0K Mar 24 13:25

Actually this helper is also a kind of fork of a helper found in the sddm-kcm repository, which we covered in a previous report. It seems the codebase has not improved since then, but rather additional attack surface has been added in the meantime.

3) Security Issues

3.a) Arbitrary chown() via Symlink Attack in sync() Method

In the sync() method the helper service naively performs chown() calls on files located in the service user’s home directory (/var/lib/plasmalogin), allowing a plasmalogin to root exploit.

The chown() is performed for the paths $PLASMALOGIN_HOME/.config, $PLASMALOGIN_HOME/.config/fontconfig as well for a list of configuration files like plasmarc placed into $PLASMALOGIN_HOME/.config.

A compromised plasmalogin service account can place symbolic links here to direct the chown() to arbitrary files in the system. After the chown() the helper writes client-supplied content into these files, which will also end up in arbitrary files in case of a symlink attack.

This method’s logic would also allow deletion of certain files like plasmarc in arbitrary directories, would the relevant statement in the service implementation not lack the final filename component in the path construction:

QFile(homeDir + QStringLiteral("/.config/")).remove();

Thus this removal logic doesn’t work at all at the moment, since it attempts to remove the .config directory instead of the actual configuration files.

3.b) Arbitrary File Deletion in reset() Method

In the reset() method the paths $PLASMALOGIN_HOME/.cache and $PLASMALOGIN_HOME/.config/fontconfig are recursively deleted. For this purpose the Qt API QDir::removeRecursively() is used. The implementation of this function follows symbolic links even in the final path component, which means that a compromised plasmalogin service user can leverage this logic to achieve the deletion of arbitrary directory trees in the system.

3.c) Symlink Attack via /var/lib/plasmalogin/wallpapers in save() Method

In the save() method the path /var/lib/plasmalogin/wallpapers is created and opened by root, using a system call sequence affected by a race condition. A compromised plasmalogin user can replace the directory by a symbolic link in time for the service to write wallpaper files to arbitrary locations in the system, leading to local Denial-of-Service (DoS) and integrity violation.

In this spot the helper employs a low-level openat2() system call to avoid symbolic link resolution, but this only applies to the actual files placed within the wallpaper directory, not to the directory itself, which is naively opened before that.

3.d) Missing Integrity Check of Configuration Data in save() Method

In the save() method the contents of the file /etc/plasmalogin.conf can be completely controlled by the caller. Since this method is protected by auth_admin Polkit authentication this is basically acceptable, but there is not even an integrity or syntax check of the data, the method blindly forwards whatever the client passes to it into this file, without a maximum size limit or any sanity checks. While this is not directly a security issue it is a lack of robustness, because the D-Bus service is responsible for maintaining a sane structure of the privileged configuration file, preventing a broken system e.g. in case of buggy clients.

3.e) Lack of File Descriptor and File Size Verification in save() Method

For the actual wallpaper files, file descriptor passing is employed, which is good. There is no upper limit enforced on the amount of data placed into the wallpapers directory, however, which allows to exhaust disk space in /var/lib/plasmalogin.

Even file descriptors passed from clients should be verified to check whether they refer to regular files and have no unexpected file flags set. This verification is missing.

4) Suggested Fixes

We suggested the following fixes to upstream:

• Foremost the helper should drop privileges to the plasmalogin user before performing any file system operations in /var/lib/plasmalogin, thereby eliminating all symlink attack surface. There still remains Denial-of-Service (DoS) attack surface if the service user places e.g. a named FIFO pipe somewhere. Avoiding this requires careful inspection of each path component by the service before opening it.
• The helper should verify the structure and size of data written to /etc/plasmalogin.conf.
• The helper should place a limit on the maximum amount of space which may be used for wallpapers in the plasmalogin user’s home directory.
• The helper should verify the type and flags of file descriptors passed by the client. The descriptors should not have special file types and they should not have any unexpected flags like O_PATH set.

5) Severity

None of the issues in this report is exploitable in a default installation of plasma-login-manager. Most of the problems affect the situation when the plasmalogin service user is compromised and thus affect defense-in-depth.

It is conceivable, however, that some actions in the helper, like the wallpaper management, could be reduced to lesser authentication requirements like a Polkit yes setting for locally logged-in users in the future, be it due to upstream changes or due to choices made by system integrators. Then further problems like disk space exhaustion by other unprivileged users could sneak in as well.

Based on the high severity of the defense-in-depth issues shown in this report, our assessment is that there is effectively no separation between root and the plasmalogin service user account.

6) Upstream Bugfix

At this time there is no bugfix available by upstream, but a security fix is planned for the next Plasma release on May 12. We have not been involved in upstream’s bugfix process so far and have no knowledge about the approach that will be taken to address the issues from this report.

7) CVE Assignment

We suggested a single CVE assignment relating to the lack of privilege drop of the D-Bus service, which is the root cause of most of the issues described in this report. In coordination with upstream we assigned CVE-2026-25710 and shared it with them to track these defects.

8) Timeline

9) References

• blog post about issues in sddm-kcm6
• blog post about the introduction of file descriptor passing in kauth
• openSUSE plasma-login-manager KCM helper review bug
• plasmaloginauthhelper code
• plasma-login-manager repository

Finalmente pasó. Quedamos cuatro gatos escribiendo en esto de los blogs, uno de los medios digitales, junto con los foros, que encuentro perfectamente equilibrado entre novedad y duración (probad de buscar una noticia de hace un mes en un hilo de cualquier red social). Es por ello que me complace compartir los éxitos de un «blog hermano» como es el de Victorhck in the free world que cumple 15 años ofreciendo artículos de calidad llenos de ética. Todo un referente que no podéis dejar de seguir.

Victorhck in the free world cumple 15 años

 Si de algo estoy orgulloso es de tener algo que ver (al menos un poco) en el nacimiento del blog que hoy tengo el gusto de felicitar. Y, además, no solo tengo el gusto de leer periódicamente entradas de alta calidad, sino que encima tengo el gran placer de conocer personalmente al creador, pudiendo decir que es una de las mejores personas con los que puedes compartir eventos, comidas, cenas, cafés, una cerveza o charlar en general.

Así que:

¡Muchas felicidades a Victorhck y a su blog Victorhck in the free world!

Y aprovecho para invitaros a leer su excelente entrada aniversario que empieza así:

No pensaba escribir al respecto, pero ¿por qué no celebrar algo exclusivo? El motivo: celebrar que este blog que estás leyendo cumple hoy, en este 2026, 15 años de existencia.

También hace 15 años que empecé a utilizar openSUSE + KDE y aquí sigo. Siempre aprendiendo y siempre compartiendo y ayudando en lo que sé en todos estos años. Ese fue el impulso inicial del blog y ese sigue siendo el compromiso 15 años después.

Y, como no, animaros que os pongáis el blog en vuestros favoritos porque Victorhck lleva 3 lustros obsequiándonos con artículo con una periodicidad loable teniendo en cuenta la alta calidad de los mismos.

Con temas técnicos, tutoriales, traducciones y, sobre todo, éticos que dejan a la altura del betún cualquier publicación de red social.

Todo ello sin olvidar que Víctor se ha dedicado a hacer otras contribuciones como traducciones de tutoriales o libros enteros, algo que exige mucha dedicación y entrega, y que en muchas ocasiones está poco valorado.

De esta forma, os invito a visitar sus 3 creaciones que tengo controladas:

• HTML para personas: traducción al español del tutorial «HTML for people» escrito por Blake Watson. Disponibles ambos textos de manera libre y publicados bajo licencia CC-by-nc-sa 4.0,
• Aprender Vim: guía en español para hacerlo de la manera más inteligente a largo de 27 capítulos esta guía empieza con conceptos simples y profundiza en conceptos más completos.
• El programador mediocre: traducción al español del libro «The mediocre programmer» escrito por Craig Maloney, que está disponible de manera libre y gratuita.

Evidentemente, Víctor hace su trabajo, y lo seguirá haciendo, de forma desinteresada, aunque si queréis reconocer su trabajo realizando alguna donación en LiberaPay seguro que lo agradecerá. Por experiencia, no es el dinero, es sentir que se valora el trabajo.

La entrada Victorhck in the free world cumple 15 años se publicó primero en KDE Blog.