Han surgido detalles sobre una nueva variante de la reciente vulnerabilidad de escalada de privilegios locales (LPE) de Dirty Frag Linux que permite a atacantes locales obtener acceso de root, lo que lo convierte en el tercer error de este tipo identificado en el kernel en un lapso de dos semanas.

nombre en clave Fragnesiala vulnerabilidad de seguridad se rastrea como CVE-2026-46300 (puntuación CVSS: 7,8) y tiene su raíz en el subsistema XFRM ESP-in-TCP del kernel de Linux. Fue descubierto por el investigador William Bowling del equipo de seguridad V12.

«La vulnerabilidad permite a atacantes locales sin privilegios modificar el contenido de archivos de sólo lectura en la caché de la página del núcleo y obtener privilegios de root a través de una primitiva de corrupción determinista de la caché de página», dijo Wiz, propiedad de Google.

Varias distribuciones de Linux han publicado avisos:

«Este es un error separado en ESP/XFRM de Dirty Frag que ha recibido su propio parche», dijo V12. «Sin embargo, está en la misma superficie y la mitigación es la misma que para Dirty Frag. Abusa de un error lógico en el subsistema Linux XFRM ESP-in-TCP para lograr escrituras de bytes arbitrarias en la caché de la página del núcleo de archivos de sólo lectura, sin requerir ninguna condición de carrera».

Fragnesia es similar a Copy Fail y Dirty Frag (también conocido como Copy Fail 2) en que inmediatamente genera raíz en todas las distribuciones principales al lograr una primitiva de escritura de memoria en el kernel y corromper la memoria caché de la página del binario /usr/bin/su. V12 ha lanzado un exploit de prueba de concepto (PoC).

«Los clientes que ya han aplicado la mitigación de Dirty Frag no necesitan ninguna otra acción hasta que se lancen los kernels parcheados», dijeron los mantenedores de CloudLinux. Red Hat dijo que está realizando una evaluación para confirmar si las mitigaciones existentes se extienden a CVE-2026-46300.

Wiz también señaló que las restricciones de AppArmor en espacios de nombres de usuarios sin privilegios pueden servir como una mitigación parcial, lo que requiere omisiones adicionales para una explotación exitosa. Sin embargo, a diferencia de Dirty Frag, no se requieren privilegios a nivel de host.

«Hay un parche disponible y, aunque no se ha observado ninguna explotación en este momento, instamos a los usuarios y organizaciones a aplicar el parche lo antes posible ejecutando herramientas de actualización», dijo Microsoft. «Si no es posible aplicar parches en este momento, considere aplicar las mismas mitigaciones para Dirty Frag».

Esto incluye deshabilitar esp4, esp6 y la funcionalidad xfrm/IPsec relacionada, restringir el acceso innecesario al shell local, reforzar las cargas de trabajo en contenedores y aumentar la supervisión de actividades anormales de escalada de privilegios.

El desarrollo se produce cuando se ha observado que un actor de amenazas llamado «berz0k» anuncia en foros de delitos cibernéticos un exploit LPE de día cero para Linux por 170.000 dólares, afirmando que funciona en varias distribuciones importantes de Linux.

«El actor de amenazas afirma que la vulnerabilidad está basada en TOCTOU (Time-of-Check Time-of-Use), capaz de escalar privilegios locales estables sin causar fallas del sistema, y ​​aprovecha una carga útil de objeto compartido (.so) colocada en el directorio /tmp», dijo ThreatMon en una publicación en X.