Folgen 
Lokale Privilegieneskalationsfehler bleiben besonders gefährlich, wenn sie einem normalen Benutzerzugang sofortigen Root-Zugriff verleihen. Die Schwachstelle CVE-2026-46300, mit dem Spitznamen Fragnesia, ist ein schwerwiegender Fehler im Linux-Kernel im XFRM ESP-in-TCP-Subsystem, der es einem nicht privilegierten lokalen Angreifer ermöglicht, beliebige Bytes in den Seitencache schreibgeschützter Dateien zu schreiben und Privilegien zu eskalieren. Öffentliche Berichte weisen ihr einen CVSS-Wert von 7,8 zu und verknüpfen sie mit derselben breiteren Fehlerklasse wie Dirty Frag.
Das neue Fragnesia-Linux-Problem wurde am 14. Mai 2026 offengelegt, wobei The Hacker News es als den dritten Kernel-Bug dieser Art innerhalb von zwei Wochen bezeichnete und BleepingComputer darauf hinwies, dass Linux-Distributionen bereits begonnen hatten, Patches auszurollen. Öffentliche Details zu CVE-2026-46300 zeigen, dass der Fehler von William Bowling vom V12-Sicherheitsteam entdeckt wurde und dass ein funktionierendes Proof-of-Concept bereits veröffentlicht wurde.
Analyse zu CVE-2026-46300
Auf technischer Ebene handelt es sich bei der Schwachstelle in CVE-2026-46300 um einen logischen Fehler im ESP-in-TCP-Pfad des Kernels. CloudLinux erklärt, dass wenn ein TCP-Socket in den espintcp-Modus wechselt, nachdem dateigestützte Daten bereits in die Empfangswarteschlange eingesperrt wurden, der Kernel diese in der Warteschlange stehenden Dateiseiten als ESP-Chiffretext behandeln und an Ort und Stelle entschlüsseln kann. Dadurch kann ein nicht privilegierter Prozess kontrollierte IV-Werte in ein deterministisches Ein-Byte-Schreibprimär in den Seitencache einer lesbaren Datei umwandeln, ohne dass ein Wettlaufszustand erforderlich ist.
Ein öffentliches CVE-2026-46300 poc ist bereits verfügbar und die veröffentlichte CVE-2026-46300-Nutzlast zielt auf die Seitencache-Kopie von /usr/bin/su ab, anstatt das Binär direkt auf der Festplatte zu ändern. Laut CloudLinux und BleepingComputer schreibt der Exploit einen kleinen ELF-Stub in den zwischengespeicherten Speicher, sodass der nächste Aufruf von su Angreiferkontrollierten Code als Root ausführt.
Aus der Perspektive der Gefährdung betrifft CVE-2026-46300 Linux-Kernel-Versionen, die vor dem 13. Mai 2026 veröffentlicht wurden. The Hacker News berichtet, dass mehrere Distributionen, einschließlich AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE und Ubuntu, Warnhinweise veröffentlicht haben, während BleepingComputer sagt, dass der Fehler auf anfälligen Systemen durch Seitencache-Beschädigung schreibgeschützter Dateien Root-Privilegien verschaffen kann.
CVE-2026-46300-Minderung
Die primäre Reaktion besteht darin, gepatchte Kernel von Ihrem Linux-Anbieter anzuwenden, sobald sie verfügbar sind. Zum Zeitpunkt der Offenlegung berichtete The Hacker News, dass keine Ausbeutung in der freien Wildbahn beobachtet wurde, aber Microsoft drängte Organisationen dennoch, schnell zu patchen und, falls Patchen nicht sofort möglich war, dieselben temporären Schutzmaßnahmen anzuwenden, die für Dirty Frag empfohlen wurden.
Zur Erkennung von CVE-2026-46300 sollten Verteidiger sich auf Systeme konzentrieren, bei denen ein lokaler Angreifer realistisch Codeausführung erlangen und dann zu Root pivotieren könnte. Öffentliche CVE-2026-46300-iocs sind begrenzt, aber der veröffentlichte Exploit-Pfad konzentriert sich auf die Manipulation zwischengespeicherter Kopien sensibler Binärdateien wie /usr/bin/su, was bedeutet, dass Versionsvalidierung, lokale Ausführungstelemetrie und plötzliche Privilegienänderungen nützlicher sind als Netzwerksignaturen.
Um die Exposition gegenüber CVE-2026-46300 zu erkennen, bevor gepatchte Kernel bereitgestellt werden, ist die empfohlene temporäre Abmilderung, die esp4-, esp6- und rxrpc-Module zu entladen und auf die Blacklist zu setzen. CloudLinux und BleepingComputer merken an, dass dies Workloads bricht, die auf IPsec ESP oder AFS/rxrpc basieren, sodass es nur angewendet werden sollte, wo dies operativ akzeptabel ist. Wenn ein Host möglicherweise bereits angegriffen wurde, empfiehlt CloudLinux außerdem, den Seiten-Cache nach der Abmilderung zu leeren, damit beschädigte zwischengespeicherte Seiten entfernt und von der Festplatte neu geladen werden.
FAQ
Was ist CVE-2026-46300 und wie funktioniert es?
CVE-2026-46300 ist eine Schwachstelle zur Eskalation lokaler Privilegien im Linux-Kernel im XFRM ESP-in-TCP-Subsystem. Es funktioniert, indem es einen Logikfehler ausnutzt, der willkürliche Schreibvorgänge in den Kernel-Seitencache lesbarer Dateien ermöglicht, sodass ein nicht privilegierter lokaler Benutzer zwischengespeicherte Daten beschädigen und Root-Privilegien erlangen kann.
Wann wurde CVE-2026-46300 erstmals entdeckt?
Die öffentlichen Berichte geben kein privates Entdeckungsdatum an, aber sie besagen, dass der Fehler von William Bowling vom V12-Sicherheitsteam entdeckt wurde und am 14. Mai 2026 öffentlich bekannt gegeben wurde.
Was sind die Auswirkungen von CVE-2026-46300 auf Systeme?
Die Auswirkungen sind die Eskalation lokaler Privilegien zu Root. Öffentliche Berichte sagen, dass der Exploit die Seitencache-Kopie von /usr/bin/su beschädigen und eine Root-Shell erhalten kann, was jeden erfolgreichen Zugriff mit niedrigen Privilegien in eine vollständige Systemkompromittierung verwandelt.
Kann CVE-2026-46300 mich 2026 noch betreffen?
Ja. Systeme können 2026 noch exponiert sein, wenn sie Kernel ausführen, die vor dem 13. Mai 2026 freigegeben wurden und noch keine Anbieter-Patches oder kompensierenden Abmilderungen erhalten haben.
Wie kann ich mich vor CVE-2026-46300 schützen?
Installieren Sie gepatchte Kernel von Ihrer Distribution und wenn das Patchen verzögert wird, wenden Sie die Dirty Frag-Stil-Modul-Blacklist für esp4, esp6 und rxrpc an, wo es sicher ist. Wenn eine Maschine möglicherweise bereits gezielt wurde, leeren Sie den Seiten-Cache nach der Abmilderung, sodass alle beschädigten zwischengespeicherten Seiten gelöscht und von der Festplatte aktualisiert werden.
