La vulnerabilidad CVE-2026-46300, denominada Fragnesia, permite que un atacante local sin privilegios obtenga permisos de root mediante la corrupción del caché de páginas del kernel Linux. El fallo afecta a la subsistema XFRM ESP-in-TCP y tiene una puntuación CVSS 7.8. El parche ya está disponible, se ha publicado un exploit público (PoC), pero en el momento de la publicación no se ha observado explotación activa en la naturaleza. Los administradores de servidores Linux, plataformas de contenedores y entornos en la nube deben instalar las actualizaciones del kernel o aplicar medidas de mitigación similares a las recomendaciones para Dirty Frag.

Detalles técnicos de la vulnerabilidad

Fragnesia fue descubierta por el investigador William Bowling del equipo V12 Security. Según los investigadores, la vulnerabilidad es un error lógico en la subsistema XFRM ESP-in-TCP del kernel Linux que permite realizar escrituras arbitrarias de bytes en el caché de páginas del kernel para archivos disponibles únicamente en modo lectura. La característica clave es que su explotación no requiere condiciones de carrera (race condition), lo que hace que el ataque sea determinista y fiable.

Tal como describe Wiz, el mecanismo de ataque consiste en corromper el caché de páginas del binario /usr/bin/su, lo que permite a un usuario sin privilegios obtener acceso root. Según V12 Security, a diferencia de Dirty Frag, la explotación de Fragnesia no requiere privilegios a nivel de host.

Fragnesia es una vulnerabilidad distinta de Dirty Frag y Copy Fail (CVE-2026-31431), pero las tres explotan la misma superficie de ataque — la subsistema ESP/XFRM — y utilizan un primitivo de escritura en memoria similar para lograr la elevación de privilegios. Para Fragnesia se ha publicado un parche específico.

Sistemas afectados

Se han publicado boletines de seguridad o entradas en trackers de vulnerabilidades para las siguientes distribuciones:

• Red Hat Enterprise Linux
• Ubuntu
• Amazon Linux
• Debian
• SUSE
• AlmaLinux
• CloudLinux
• Gentoo

Estado de explotación

El equipo de V12 Security ha publicado un PoC-exploit funcional. Microsoft informó de que, en el momento de la publicación, no se había observado explotación activa en la naturaleza. No obstante, la existencia de un PoC público reduce considerablemente la barrera de entrada para los atacantes y hace que el parcheo rápido sea críticamente importante.

Relación con vulnerabilidades anteriores y contexto

Fragnesia forma parte de una serie de vulnerabilidades en la subsistema ESP/XFRM del kernel Linux descubiertas en un corto período. Copy Fail (CVE-2026-31431) y Dirty Frag se revelaron anteriormente, y los tres fallos explotan el mismo componente del kernel para conseguir escritura en el caché de páginas. Esto apunta a un problema sistémico en el tratamiento de la fragmentación de paquetes ESP-in-TCP, un área del código que probablemente requerirá una auditoría más profunda.

La diferencia fundamental de Fragnesia respecto a Dirty Frag, según Wiz, es que su explotación no requiere privilegios a nivel de host. Esto amplía el conjunto de atacantes potenciales: la vulnerabilidad puede explotarse desde un contenedor o por parte de un usuario normal sin condiciones adicionales.

Evaluación del impacto

La vulnerabilidad supone un alto riesgo para los siguientes escenarios:

• Servidores multiusuario: cualquier usuario local con acceso a una shell puede obtener root
• Entornos con contenedores: en ausencia de aislamiento adicional es posible escapar del contenedor al nivel del host
• Instancias en la nube: especialmente crítico para los proveedores que ofrecen a los clientes acceso a una shell
• Sistemas de CI/CD: la ejecución de código arbitrario en los pipelines puede conducir a la compromisión de toda la infraestructura de compilación

El carácter determinista de la explotación (sin necesidad de condiciones de carrera) hace que el ataque sea estable y reproducible, lo que aumenta la probabilidad de su uso tras la aparición del PoC público.

Recomendaciones de protección

Prioridad 1: actualización del kernel. Instale el kernel parcheado correspondiente a su distribución. Los enlaces a los boletines se indican arriba.

Prioridad 2: medidas de mitigación (si la actualización inmediata no es posible):

• Deshabilite los módulos de kernel esp4, esp6 y la funcionalidad relacionada con XFRM/IPsec si no se utiliza
• Restrinja el acceso a la shell local: minimice el número de usuarios con acceso interactivo al sistema
• Refuerce el aislamiento de las cargas de trabajo en contenedores
• Configure la monitorización de eventos anómalos de escalada de privilegios

Según la declaración de CloudLinux, las organizaciones que ya han aplicado las medidas de mitigación para Dirty Frag también están protegidas frente a Fragnesia hasta la publicación de kernels parcheados. Red Hat está evaluando la aplicabilidad de las medidas existentes a CVE-2026-46300.

Según Wiz, las restricciones de AppArmor sobre los espacios de nombres de usuario sin privilegios pueden servir como medida de protección parcial, ya que en ese caso serían necesarios rodeos adicionales para una explotación satisfactoria. Sin embargo, no se recomienda confiar únicamente en AppArmor.

Que se hayan descubierto tres vulnerabilidades de escalada de privilegios en la misma subsistema del kernel en un corto período es una señal de que se necesita un enfoque sistémico de seguridad. Las organizaciones no solo deberían aplicar el parche actual para CVE-2026-46300, sino también desactivar la funcionalidad ESP/XFRM no utilizada a nivel de políticas de configuración del kernel, para reducir la superficie de ataque frente a posibles vulnerabilidades futuras en este componente.