Seguir 
Falhas de elevação de privilégio local continuam sendo especialmente perigosas quando transformam um acesso de usuário comum em acesso root imediato. A vulnerabilidade CVE-2026-46300, apelidada de Fragnesia, é uma falha grave no kernel do Linux, no subsistema XFRM ESP-in-TCP, que permite que um invasor local não privilegiado escreva bytes arbitrários no cache de página de arquivos apenas de leitura e eleve privilégios. Relatórios públicos atribuem a ela uma pontuação CVSS de 7,8 e a ligam à mesma classe de falhas que o Dirty Frag.
O novo problema Fragnesia no Linux foi divulgado em 14 de maio de 2026, com The Hacker News descrevendo como o terceiro bug de kernel desse tipo identificado em duas semanas, e BleepingComputer observando que distribuições do Linux já haviam começado a lançar patches. Detalhes públicos para o CVE-2026-46300 mostram que a falha foi descoberta por William Bowling da equipe de segurança V12 e que uma prova de conceito funcional já havia sido lançada.
Análise do CVE-2026-46300
Em um nível técnico, a vulnerabilidade no CVE-2026-46300 é um erro de lógica no caminho ESP-in-TCP do kernel. CloudLinux explica que quando um socket TCP muda para o modo espintcp após dados suportados por arquivo já terem sido empalmados na fila de recebimento, o kernel pode tratar essas páginas de arquivo na fila como ciphertext ESP e descriptografá-las no lugar. Isso permite que um processo não privilegiado transforme valores de IV controlados em uma primitiva de escrita determinística de um byte contra o cache de página de qualquer arquivo legível, sem necessitar de uma condição de corrida.
Uma prova de conceito pública para CVE-2026-46300 já está disponível, e o payload publicado do CVE-2026-46300 visa a cópia em cache de /usr/bin/su ao invés de modificar o binário diretamente no disco. Segundo CloudLinux e BleepingComputer, o exploit escreve uma pequena assinatura ELF na memória em cache para que a próxima invocação de su execute código controlado pelo invasor como root.
Do ponto de vista de exposição, o CVE-2026-46300 afeta os kernels do Linux lançados antes de 13 de maio de 2026. The Hacker News diz que várias distribuições, incluindo AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE e Ubuntu, publicaram avisos, enquanto BleepingComputer afirma que o bug pode conceder privilégios de root em sistemas vulneráveis através da corrupção do cache de página de arquivos somente leitura.
Mitigação CVE-2026-46300
A resposta principal é aplicar kernels corrigidos do seu fornecedor de Linux assim que estiverem disponíveis. No momento da divulgação, The Hacker News relatou que nenhuma exploração em campo havia sido observada, mas a Microsoft ainda instou as organizações a aplicar patches rapidamente e, se não fosse possível aplicar patches imediatamente, aplicar as mesmas proteções temporárias recomendadas para o Dirty Frag.
Para detecção do CVE-2026-46300, os defensores devem se concentrar em sistemas onde um invasor local poderia realisticamente obter execução de código e, em seguida, mudar para root. As iocs públicas para CVE-2026-46300 são limitadas, mas o caminho de exploração publicado centra-se na adulteração de cópias em cache de binários sensíveis, como /usr/bin/su, o que significa que validação de versão, telemetria de execução local e mudanças súbitas de privilégio são mais úteis do que assinaturas de rede.
Para detectar a exposição ao CVE-2026-46300 antes que os kernels corrigidos sejam implantados, a mitigação temporária recomendada é descarregar e colocar na lista negra os módulos esp4, esp6 e rxrpc. CloudLinux e BleepingComputer observam que isso quebra cargas de trabalho que dependem do IPsec ESP ou AFS/rxrpc, então deve ser aplicado apenas onde for operacionalmente aceitável. Se um host já pode ter sido alvo, CloudLinux também recomenda remover o cache de página após a mitigação para que páginas corrompidas em cache sejam removidas e recarregadas do disco.
FAQ
O que é o CVE-2026-46300 e como funciona?
CVE-2026-46300 é uma falha de elevação de privilégio local no kernel do Linux no subsistema XFRM ESP-in-TCP. Funciona explorando um erro de lógica que permite gravações arbitrárias no cache de página do kernel de arquivos legíveis, permitindo que um usuário local não privilegiado corrompa dados em cache e obtenha privilégios de root.
Quando o CVE-2026-46300 foi descoberto pela primeira vez?
Os relatórios públicos não divulgam uma data de descoberta privada, mas afirmam que a falha foi descoberta por William Bowling da equipe de segurança V12 e divulgada publicamente em 14 de maio de 2026.
Qual o impacto do CVE-2026-46300 nos sistemas?
O impacto é a elevação local de privilégios para root. Relatórios públicos dizem que o exploit pode corromper a cópia em cache de /usr/bin/su e obter um shell root, o que transforma qualquer ponto de acesso de baixo privilégio bem-sucedido em uma total violação do sistema.
O CVE-2026-46300 ainda pode me afetar em 2026?
Sim. Os sistemas ainda podem estar expostos em 2026 se executarem kernels lançados antes de 13 de maio de 2026 e ainda não tiverem recebido patches do fornecedor ou mitigações compensatórias.
Como posso me proteger do CVE-2026-46300?
Instale kernels corrigidos da sua distribuição e, se o patch for adiado, aplique a lista negra de módulos no estilo Dirty Frag para esp4, esp6 e rxrpc onde for seguro fazer isso. Se uma máquina já pode ter sido alvo, remova o cache de página após a mitigação para que quaisquer páginas em cache corrompidas sejam limpas e atualizadas do disco.
