Стежити 
Локальні помилки підвищення привілеїв залишаються особливо небезпечними, коли вони перетворюють звичайний доступ користувача в негайний доступ до root. Вразливість CVE-2026-46300, під назвою Fragnesia, є високосерйозною помилкою ядра Linux у підсистемі XFRM ESP-in-TCP, яка дозволяє неповноваженому локальному атакуючому записувати довільні байти у кеш-сторінку файлів тільки для читання та підвищувати привілеї. Публічні звіти присвоюють їй рейтинг CVSS 7.8 та пов’язують з тією ж ширшою класою помилок, що й Dirty Frag.
Нова проблема Fragnesia Linux була розкрита 14 травня 2026 року, причому The Hacker News описав її як третю подібну помилку ядра, ідентифіковану за два тижні, а BleepingComputer зауважив, що дистрибуції Linux вже почали випускати патчі. Публічні деталі для CVE-2026-46300 показують, що помилка була виявлена Вільямом Боулінгом з команди безпеки V12, і що вже було випущено робочий доказ концепції.
Аналіз CVE-2026-46300
На технічному рівні, вразливість CVE-2026-46300 є логічною помилкою в маршруті ESP-in-TCP ядра. CloudLinux пояснює, що коли TCP сокет переключається в режим espintcp після того, як дані, що підтримуються файлом, вже були змонтовані в чергу отримання, ядро може розглядати ці змонтовані сторінки файлу як шифротекст ESP і дешифрувати їх на місці. Це дозволяє неповноваженому процесу перетворювати контрольовані значення IV у детерміновану однобайтову примітивну запис у кеш-сторінку будь-якого читаного файлу без необхідності умовав перегонок.
Публічний poc CVE-2026-46300 вже доступний, і опублікований CVE-2026-46300 вантаж націлений на кеш-сторінку копії /usr/bin/su, а не на модифікацію бінарного файлу на диску безпосередньо. Згідно з CloudLinux та BleepingComputer, експлойти записують малий ELF-стуб у кешовану пам’ять, так що наступний запуск su виконує код, контрольований атакуючим, як root.
З точки зору впливу, CVE-2026-46300 впливає на ядра Linux, випущені до 13 травня 2026 року. The Hacker News повідомляє, що кілька дистрибуцій, включаючи AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE і Ubuntu, опублікували рекомендації, в той час як BleepingComputer стверджує, що помилка може дати root-привілеї на уразливих системах через пошкодження кеш-сторінки файлів тільки для читання.
Пом’якшення CVE-2026-46300
Основна реакція – це застосування пропатчених ядер від вашого постачальника Linux, як тільки вони стануть доступними. На момент розкриття, The Hacker News повідомив, що жодне експлуатаційне використання у дикій природі не було зареєстровано, але Microsoft все ще закликала організації швидко встановлювати патчі, а якщо встановлення патчів було неможливим, застосовувати ті самі тимчасові захисти, рекомендовані для Dirty Frag.
Для виявлення CVE-2026-46300 захисники повинні зосередитись на системах, де локальний атакуючий реально може отримати виконання коду, а потім перейти до root. Публічна інформація CVE-2026-46300 іок обмежена, але опублікований шлях експлуатації зосереджується на втручанні у кешовані копії чутливих бінарних файлів, таких як /usr/bin/su, що означає, що перевірка версій, локальна телеметрія виконання та раптові зміни привілеїв більш корисні, ніж мережеві підписи.
Щоб виявити впровадження CVE-2026-46300, перш ніж будуть розгорнуті пропатчені ядра, рекомендованим тимчасовим пом’якшенням є вивантаження та чорний список модулів esp4, esp6 та rxrpc. І CloudLinux, і BleepingComputer зазначають, що це порушує робочі навантаження, які покладаються на IPsec ESP або AFS/rxrpc, тому його слід застосовувати лише там, де це операційно прийнятно. Якщо хост вже може бути ціллю, CloudLinux також рекомендує скидати кеш-сторінку після пом’якшення, щоб пошкоджені кешовані сторінки видалялися і завантажувалися з диска.
FAQ
Що таке CVE-2026-46300 і як це працює?
CVE-2026-46300 – це уразливість підвищення привілеїв у ядрі Linux в підсистемі XFRM ESP-in-TCP. Вона працює, використовуючи логічну помилку, яка дозволяє довільні записи у кеш-сторінку ядра читаних файлів, дозволяючи неповноваженому локальному користувачу пошкоджувати кешовані дані і отримувати root-привілеї.
Коли CVE-2026-46300 був вперше виявлений?
Публічні звіти не розкривають дату приватного виявлення, але вони стверджують, що помилка була виявлена Вільямом Боулінгом з команди безпеки V12 і публічно розкрита 14 травня 2026 року.
Який вплив CVE-2026-46300 на системи?
Вплив – це локальне підвищення привілеїв до root. Публічні звіти кажуть, що експлойт може пошкодити кешовану копію /usr/bin/su і одержати root-оболонку, що перетворює будь-який успішний низькопривілейований доступ до повного компромісу системи.
Чи може CVE-2026-46300 все ще вразити мене у 2026 році?
Так. Системи можуть все ще бути під загрозою у 2026 році, якщо вони використовують ядра, випущені до 13 травня 2026 року, і ще не отримали від постачальника патчі чи компенсаційні пом’якшення.
Як я можу захиститися від CVE-2026-46300?
Встановіть пропатчені ядра від вашої дистрибуції, а якщо затримується застосування патча, застосуйте чорний список модулів Dirty Frag-style для esp4, esp6 та rxrpc, де це безпечно. Якщо машина вже може бути ціллю, скиньте кеш-сторінку після пом’якшення, щоб усі пошкоджені кешовані сторінки були очищені і оновлені з диска.
