С учётом того, что в большинстве flatpak-пакетов вообще отключают изоляцию (https://flatkill.org/2020/), все эти уязвимости для обхода sandbox выглядят странно.
Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах
filesystem=host или filesystem=home, но в каталоге Flathub помечена флажком sandboxed. Такие пакеты имеют полный доступ ко всей ФС или файлам пользователя, включая .bashrc и прочие автоматически запускаемые сценарии.

Установка flatpak имеет смысл только по ссылкам с сайтов основных проектов и официальных анонсов. Запуская найденный во FlatHub или упомянутый не на официальном сайте flatpak-пакет нужно понимать, что без аудита манифеста это действие мало отличается от запуска левого бинарника, загруженного с первого попавшегося сайта. C supply chain во flathub тоже не всё гладко, нет проверки, что упаковщики именно те, за кого они себя выдают, а не просто Вася назвался участником проекта и начал публиковать собранный на коленке пакет.