Se ha divulgado una vulnerabilidad de tipo Use-After-Free en el subsistema nftables del Kernel Linux, identificada como CVE-2026-23111, que puede permitir a usuarios locales sin privilegios obtener privilegios de root en sistemas afectados.
La falla se origina en el manejo interno de elementos catchall dentro de nftables y puede ser explotada para comprometer completamente el sistema operativo. Los investigadores han publicado un método de explotación funcional con una alta tasa de éxito en entornos de prueba.
Impacto
La explotación exitosa de esta vulnerabilidad puede permitir:
- Escalada local de privilegios hasta nivel root.
- Ejecución de acciones administrativas no autorizadas.
- Compromiso total del sistema afectado.
- Persistencia y evasión de controles de seguridad.
- Facilitar movimientos laterales posteriores dentro de la infraestructura.
CVE y severidad
| ID CVE | Componente afectado | Impacto | Estado de explotación |
|---|---|---|---|
| CVE-2026-23111 | Subsistema nftables del Kernel Linux | Escalada local de privilegios a root | Existe código de explotación público con alta tasa de éxito reportada |
Productos afectados
| Distribución | Estado |
|---|---|
| Debian 12 (Bookworm) | Vulnerable |
| Debian Trixie | Vulnerable |
| Ubuntu 22.04 LTS | Vulnerable |
| Ubuntu 24.04 LTS | Vulnerable |
Nota: La afectación depende de la versión específica del kernel instalada y de que nftables se encuentre habilitado en el sistema.
Solución
Aplicar las actualizaciones de seguridad publicadas por el proveedor de la distribución o actualizar a versiones del kernel que incorporen el parche oficial correspondiente al commit f41c5d1.
Recomendaciones
- Priorizar la actualización de sistemas Linux expuestos o multiusuario.
- Verificar la versión del kernel instalada y aplicar los parches proporcionados por la distribución.
- En sistemas Ubuntu donde la política de seguridad lo permita, restringir temporalmente la creación de espacios de usuario sin privilegios: sysctl -w kernel.unprivileged_userns_clone=0
- Monitorear intentos de explotación relacionados con nftables y actividades anómalas de escalamiento de privilegios.
- Limitar el acceso interactivo a usuarios no confiables hasta aplicar las correcciones correspondientes.