Pesquisadores divulgaram detalhes sobre uma nova vulnerabilidade de escalada local de privilégios no Linux que permite a invasores obter acesso root por meio da corrupção do page cache do kernel. A falha, batizada de Fragnesia, foi registrada como CVE-2026-46300 e surge poucas semanas após a divulgação das vulnerabilidades Dirty Frag e Copy Fail, ampliando preocupações em torno da segurança do subsistema XFRM ESP-in-TCP do kernel Linux.

A vulnerabilidade recebeu pontuação CVSS 7.8 e foi descoberta pelo pesquisador William Bowling, da Zellic e da equipe V12 Security. Segundo a Wiz, empresa pertencente ao Google, a falha permite que usuários locais sem privilégios modifiquem conteúdos de arquivos somente leitura presentes no page cache do kernel, criando uma primitiva determinística de corrupção de memória capaz de resultar em privilégio root.

O problema está relacionado ao subsistema XFRM ESP-in-TCP, componente responsável por funcionalidades ligadas a IPsec e encapsulamento ESP sobre TCP. De acordo com os pesquisadores, a vulnerabilidade explora um erro lógico que possibilita gravações arbitrárias de bytes no page cache de arquivos somente leitura, sem necessidade de explorar condições de corrida, diferentemente de outras falhas históricas semelhantes.

A equipe V12 explicou que a Fragnesia utiliza a mesma superfície explorada pela Dirty Frag, embora se trate de uma vulnerabilidade diferente com correção própria. Ainda assim, as mitigações aplicadas anteriormente para Dirty Frag permanecem válidas para reduzir o risco até que kernels corrigidos sejam distribuídos pelas distribuições Linux afetadas.

Assim como Copy Fail e Dirty Frag, a nova falha permite modificar a memória associada ao binário /usr/bin/su, técnica que leva rapidamente à obtenção de privilégios administrativos em diversas distribuições Linux. Os pesquisadores também disponibilizaram um exploit proof-of-concept (PoC), demonstrando a viabilidade prática da exploração.

Diversas distribuições já publicaram alertas e orientações relacionadas à vulnerabilidade, incluindo:

• AlmaLinux

• Amazon Linux

• CloudLinux

• Debian

• Gentoo

• Red Hat Enterprise Linux

• SUSE

• Ubuntu

Segundo a CloudLinux, sistemas que já aplicaram as mitigações recomendadas para Dirty Frag não precisam de ações adicionais imediatas até a liberação dos patches definitivos. A Red Hat informou que ainda avalia se as mitigações existentes são suficientes para bloquear completamente a exploração da CVE-2026-46300.

A Wiz observou ainda que restrições do AppArmor relacionadas a namespaces de usuários sem privilégios podem atuar como mitigação parcial. Mesmo assim, a exploração continua relevante porque não exige privilégios em nível de host para ser executada.

A Microsoft também recomendou que administradores atualizem seus sistemas o mais rápido possível. Para ambientes onde a aplicação imediata de patches não seja viável, a empresa sugere as mesmas medidas temporárias adotadas para Dirty Frag, incluindo:

• Desabilitar módulos esp4, esp6 e funcionalidades relacionadas a xfrm/IPsec

• Restringir acessos shell locais desnecessários

• Reforçar a segurança de workloads containerizados

• Aumentar o monitoramento de atividades anormais de escalada de privilégios

O cenário se torna ainda mais preocupante após pesquisadores identificarem um agente chamado “berz0k” anunciando em fóruns de cibercrime um suposto exploit zero-day de escalada local de privilégios para Linux pelo valor de US$ 170 mil. Segundo o ThreatMon, o vendedor afirma que o exploit utiliza uma vulnerabilidade baseada em TOCTOU (Time-of-Check Time-of-Use), funciona de forma estável em múltiplas distribuições Linux e utiliza payloads .so armazenados no diretório /tmp.

Embora ainda não existam evidências públicas de exploração da Fragnesia em ataques reais, a divulgação do exploit PoC e o aumento do interesse de grupos criminosos em falhas LPE para Linux elevam significativamente o risco para ambientes corporativos, servidores e infraestruturas em nuvem que dependem do kernel Linux.