Seguir 
Los errores de escalada de privilegios locales siguen siendo especialmente peligrosos cuando convierten un punto de apoyo de usuario ordinario en acceso inmediato a raíz. La vulnerabilidad CVE-2026-46300, apodada Fragnesia, es una falla de alta severidad en el kernel de Linux en el subsistema XFRM ESP-in-TCP que permite a un atacante local sin privilegios escribir bytes arbitrarios en el caché de páginas de archivos de solo lectura y escalar privilegios. Informes públicos le asignan un puntaje CVSS de 7.8 y lo vinculan a la misma clase de errores más amplia que Dirty Frag.
El nuevo problema de Fragnesia en Linux se divulgó el 14 de mayo de 2026, con The Hacker News describiéndolo como el tercer error del kernel de este tipo identificado en dos semanas, y BleepingComputer señalando que las distribuciones de Linux ya habían comenzado a implementar parches. Los detalles públicos para CVE-2026-46300 muestran que la falla fue descubierta por William Bowling del equipo de seguridad V12 y que ya se había publicado una prueba de concepto funcional.
Análisis de CVE-2026-46300
A nivel técnico, la vulnerabilidad en CVE-2026-46300 es un error lógico en la trayectoria ESP-in-TCP del kernel. CloudLinux explica que cuando un socket TCP cambia al modo espintcp después de que los datos respaldados por archivo ya se han empalmado en la cola de recepción, el kernel puede tratar esas páginas de archivo en cola como un cifrado ESP y descifrarlas en su lugar. Esto permite que un proceso sin privilegios transforme valores IV controlados en una primitiva de escritura de un solo byte determinista contra el caché de páginas de cualquier archivo legible, sin requerir una condición de carrera.
Ya está disponible un poc público para CVE-2026-46300, y el payload publicado de CVE-2026-46300 apunta a la copia del caché de páginas de /usr/bin/su en lugar de modificar el binario en el disco directamente. Según CloudLinux y BleepingComputer, el exploit escribe un pequeño stub ELF en la memoria caché para que la próxima invocación de su ejecute código controlado por el atacante como root.
Desde el punto de vista de la exposición, CVE-2026-46300 afecta a los kernels de Linux liberados antes del 13 de mayo de 2026. The Hacker News dice que múltiples distribuciones, incluidas AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE y Ubuntu, han publicado avisos, mientras que BleepingComputer dice que el error puede otorgar privilegios de root en sistemas vulnerables a través de la corrupción del caché de páginas de archivos de solo lectura.
Mitigación de CVE-2026-46300
La respuesta principal es aplicar kernels parcheados de su proveedor de Linux tan pronto como estén disponibles. En el momento de la divulgación, The Hacker News informó que no se había observado explotación in situ, pero Microsoft aún instó a las organizaciones a aplicar el parche rápidamente y, si no era posible aplicar el parche de inmediato, seguir las mismas protecciones temporales recomendadas para Dirty Frag.
Para la detección de CVE-2026-46300, los defensores deben centrarse en los sistemas donde un atacante local podría ganar realísticamente ejecución de código y luego pivotar a root. Los iocs públicos de CVE-2026-46300 son limitados, pero la ruta de explotación publicada se centra en la manipulación de copias del caché de binarios sensibles como /usr/bin/su, lo que significa que la validación de versión, la telemetría de ejecución local y los cambios súbitos de privilegios son más útiles que las firmas de red.
Para detectar la exposición de CVE-2026-46300 antes de que se implementen los kernels parcheados, la mitigación temporal recomendada es descargar y poner en la lista negra los módulos esp4, esp6 y rxrpc. Tanto CloudLinux como BleepingComputer señalan que esto rompe las cargas de trabajo que dependen de IPsec ESP o AFS/rxrpc, por lo que debe aplicarse solo donde sea operativamente aceptable. Si un host ya ha podido ser objetivo, CloudLinux también recomienda descartar el caché de páginas después de la mitigación para que las páginas del caché corruptas sean expulsadas y recargadas desde el disco.
FAQ
¿Qué es CVE-2026-46300 y cómo funciona?
CVE-2026-46300 es una falla de escalada de privilegios locales en el kernel de Linux en el subsistema XFRM ESP-in-TCP. Funciona abusando de un error lógico que permite escrituras arbitrarias en el caché de páginas del kernel de archivos legibles, lo que permite a un usuario local sin privilegios corromper datos en caché y obtener privilegios de root.
¿Cuándo se descubrió por primera vez CVE-2026-46300?
Los informes públicos no divulgan una fecha de descubrimiento privada, pero sí afirman que la falla fue descubierta por William Bowling del equipo de seguridad V12 y divulgada públicamente el 14 de mayo de 2026.
¿Cuál es el impacto de CVE-2026-46300 en los sistemas?
El impacto es la escalada de privilegios locales a root. Los informes públicos dicen que el exploit puede corromper la copia del caché de páginas de /usr/bin/su y obtener un shell de root, lo que convierte cualquier punto de apoyo de bajo privilegio exitoso en un compromiso total del sistema.
¿Puede CVE-2026-46300 seguir afectándome en 2026?
Sí. Los sistemas aún pueden estar expuestos en 2026 si ejecutan kernels liberados antes del 13 de mayo de 2026 y aún no han recibido parches del proveedor o mitigaciones compensatorias.
¿Cómo puedo protegerme de CVE-2026-46300?
Instale kernels parcheados de su distribución y si el parcheo se retrasa, aplique la lista negra de módulos al estilo Dirty Frag para esp4, esp6 y rxrpc donde sea seguro hacerlo. Si una máquina ya ha podido ser un objetivo, descarte el caché de páginas después de la mitigación para que cualquier página del caché corrupta sea limpiada y actualizada desde el disco.
