Segui 
Le vulnerabilità di escalation dei privilegi locali rimangono particolarmente pericolose quando trasformano un accesso utente ordinario in accesso immediato come root. La vulnerabilità CVE-2026-46300, soprannominata Fragnesia, è un grave difetto del kernel Linux nel sottosistema XFRM ESP-in-TCP che consente a un attaccante locale senza privilegi di scrivere byte arbitrari nella cache delle pagine di file di sola lettura ed eseguire un’escalation dei privilegi. La segnalazione pubblica gli assegna un punteggio CVSS di 7.8 e lo collega alla stessa ampia classe di bug come Dirty Frag.
Il nuovo problema Fragnesia Linux è stato divulgato il 14 maggio 2026, con The Hacker News che lo ha descritto come il terzo bug del kernel di questo tipo identificato in due settimane, e BleepingComputer ha osservato che le distribuzioni Linux avevano già iniziato a distribuire patch. I dettagli pubblici per CVE-2026-46300 mostrano che il difetto è stato scoperto da William Bowling del team di sicurezza V12 e che era già stato rilasciato un proof-of-concept funzionante.
Analisi CVE-2026-46300
A livello tecnico, la vulnerabilità in CVE-2026-46300 è un bug logico nel percorso ESP-in-TCP del kernel. CloudLinux spiega che quando un socket TCP passa alla modalità espintcp dopo che i dati collegati a file sono già stati incorporati nella coda di ricezione, il kernel può trattare quelle pagine di file messe in coda come testo cifrato ESP e decifrarle in loco. Ciò consente a un processo senza privilegi di trasformare i valori IV controllati in una primitiva di scrittura deterministica a byte singolo contro la cache delle pagine di qualsiasi file leggibile, senza richiedere una condizione di gara.
È già disponibile un poc pubblico per CVE-2026-46300, e il payload pubblicato CVE-2026-46300 mira alla copia della cache della pagina di /usr/bin/su piuttosto che modificare il binario su disco direttamente. Secondo CloudLinux e BleepingComputer, l’exploit scrive un piccolo stub ELF nella memoria cache in modo che la successiva invocazione di su esegua codice controllato dall’attaccante come root.
Da un punto di vista dell’esposizione, CVE-2026-46300 colpisce i kernel Linux rilasciati prima del 13 maggio 2026. The Hacker News afferma che più distribuzioni, tra cui AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE e Ubuntu, hanno pubblicato avvisi, mentre BleepingComputer afferma che il bug può concedere privilegi di root su sistemi vulnerabili tramite la corruzione della cache delle pagine di file di sola lettura.
Mitigazione CVE-2026-46300
La risposta principale è applicare kernel patchati dal tuo fornitore Linux appena disponibili. Al momento della divulgazione, The Hacker News ha riportato che non sono state osservate sfruttamenti in-the-wild, ma Microsoft ha comunque esortato le organizzazioni a patchare rapidamente e, se la patch non fosse immediatamente possibile, a applicare le stesse protezioni temporanee consigliate per Dirty Frag.
Per il rilevamento di CVE-2026-46300, i difensori dovrebbero concentrarsi su sistemi in cui un attaccante locale potrebbe realisticamente ottenere l’esecuzione di codice e quindi passare a root. Gli ioc pubblici di CVE-2026-46300 sono limitati, ma il percorso dell’exploit pubblicato si concentra sulla manipolazione delle copie memorizzate nella cache di binari sensibili come /usr/bin/su, il che significa che la convalida delle versioni, la telemetria dell’esecuzione locale e i cambiamenti improvvisi di privilegi sono più utili rispetto ai marchi di rete.
Per rilevare l’esposizione a CVE-2026-46300 prima dell’implementazione dei kernel patchati, la mitigazione temporanea raccomandata è disabilitare e mettere nella lista nera i moduli esp4, esp6 e rxrpc. CloudLinux e BleepingComputer notano entrambi che questo interrompe i carichi di lavoro che si basano su IPsec ESP o AFS/rxrpc, quindi dovrebbe essere applicato solo dove è accettabile dal punto di vista operativo. Se un host potrebbe essere già stato preso di mira, CloudLinux raccomanda anche di eliminare la cache delle pagine dopo la mitigazione in modo che le pagine memorizzate nella cache corrotte vengano espulse e ricaricate dal disco.
FAQ
Cos’è CVE-2026-46300 e come funziona?
CVE-2026-46300 è un difetto di escalation dei privilegi locali del kernel Linux nel sottosistema XFRM ESP-in-TCP. Funziona abusando di un errore logico che consente scritture arbitrarie nella cache delle pagine del kernel di file leggibili, permettendo a un utente locale senza privilegi di corrompere i dati memorizzati nella cache e ottenere privilegi di root.
Quando è stato scoperto per la prima volta CVE-2026-46300?
I rapporti pubblici non divulgano una data di scoperta privata, ma indicano che il difetto è stato scoperto da William Bowling del team di sicurezza V12 e divulgato pubblicamente il 14 maggio 2026.
Qual è l’impatto di CVE-2026-46300 sui sistemi?
L’impatto è l’escalation dei privilegi locali a root. I rapporti pubblici dicono che l’exploit può corrompere la copia della cache delle pagine di /usr/bin/su e ottenere una shell root, trasformando qualsiasi appoggio a basso privilegio riuscito in una compromissione completa del sistema.
CVE-2026-46300 può ancora colpirmi nel 2026?
Sì. I sistemi possono essere ancora esposti nel 2026 se eseguono kernel rilasciati prima del 13 maggio 2026 e non hanno ancora ricevuto patch del fornitore o mitigazioni compensative.
Come posso proteggermi da CVE-2026-46300?
Installare kernel patchati dalla propria distribuzione e, se la patch è ritardata, applicare la lista nera dei moduli in stile Dirty Frag per esp4, esp6 e rxrpc ove sia sicuro farlo. Se una macchina può già essere stata presa di mira, cancellare la cache delle pagine dopo la mitigazione in modo che le pagine memorizzate nella cache corrotte vengano cancellate e aggiornate dal disco.
