Uma falha de segurança identificada como CVE-2025-3155 foi descoberta no Yelp, aplicativo de ajuda do GNOME que já vem instalado por padrão em sistemas Ubuntu desktop. A vulnerabilidade está relacionada ao modo como o Yelp lida com o esquema de URI “ghelp://”, permitindo que arquivos XML maliciosos, chamados de .page, sejam utilizados para acessar dados sensíveis do sistema. Esses arquivos seguem o padrão Mallard e, segundo o pesquisador conhecido como parrot409, possibilitam a inclusão de conteúdos externos via XInclude — um recurso de inclusão de XML que está ativo no Yelp.

A falha permite que atacantes utilizem XInclude para embutir arquivos do sistema, como o /etc/passwd, dentro do conteúdo exibido na interface gráfica do Yelp. O aplicativo utiliza uma linguagem chamada XSLT para transformar esses arquivos em páginas HTML, que são então processadas por meio do motor WebKitGtk. O perigo maior está no fato de que certos elementos, como SVGs, são inseridos no HTML final sem filtros, possibilitando a injeção de scripts maliciosos e, consequentemente, a execução de código arbitrário. O pesquisador desenvolveu uma prova de conceito (PoC) que demonstra como essa vulnerabilidade pode ser explorada para roubar arquivos sensíveis, como a chave privada SSH (~/.ssh/id_rsa) da vítima.

O ataque simula a presença de um arquivo index.page malicioso na pasta de Downloads do usuário, que é aberto automaticamente quando o usuário é redirecionado para um link “ghelp://” apontando para essa localização. Embora o ataque tenha limitações, como a necessidade de conhecer o nome de usuário no sistema e depender da permissão para abrir links de esquemas personalizados, parrot409 destaca que muitos aplicativos no GNOME utilizam o diretório home como local padrão de execução. Isso permite, por exemplo, que o ataque funcione mesmo sem conhecer o nome de usuário, bastando que o arquivo esteja na pasta Downloads do usuário logado.