Se ha descubierto una vulnerabilidad crítica en el kernel de Linux que combina un fallo de corrupción de la caché de páginas Copy-on-Write (COW) con el subsistema net/sched act_pedit. Un atacante local sin privilegios puede escalar privilegios a root en varias distribuciones principales, explotando un error introducido en el commit 899ee91156e5 y presente en versiones desde v5.18 hasta v7.1-rc6. La explotación, verificada en junio de 2026, aprovecha capacidades como CAP_NET_ADMIN en namespaces de usuario no privilegiados para modificar binarios como /bin/su y obtener una shell con privilegios de root.
CVE y severidad
CVE-2026-46331 (Severidad: Crítica). La vulnerabilidad afecta al subsistema act_pedit del framework de control de tráfico (tc) de Linux, permitiendo escritura fuera de límites en la caché de páginas COW. No requiere privilegios de root para la explotación inicial, aunque depende de la configuración de namespaces de usuario.
Productos afectados
| Distribución | Versión del kernel | Resultado |
|---|---|---|
| Red Hat Enterprise Linux (RHEL) | 10.0 (kernel 6.12.0-228.el10) | Vulnerable (escalada a root) |
| Debian | 13 (Trixie, kernel 6.12.90+deb13.1) | Vulnerable (escalada a root) |
| Ubuntu | 24.04.4 (kernel 6.17.0-22-generic) | Vulnerable (escalada a root con bypass de AppArmor) |
| Ubuntu | 26.04 (kernel 7.0.0-14-generic) | No vulnerable (mitigado por configuración de AppArmor) |
Nota: La explotación en Ubuntu depende de la configuración de kernel.apparmor_restrict_unprivileged_userns y kernel.apparmor_restrict_unprivileged_unconfined. Versiones recientes como Ubuntu 26.04 han cerrado esta vía de ataque.
Solución
Actualizar el kernel a la versión v7.1-rc7 o superior, donde se ha corregido el fallo. Red Hat recomienda aplicar el parche incluido en RHSA-2026-008.
Recomendaciones
Administradores deben priorizar la actualización del kernel en sistemas afectados. Como medida temporal, se recomienda deshabilitar namespaces de usuario no privilegiados mediante user.max_user_namespaces=0 en /etc/sysctl.conf (Linux). En entornos con AppArmor, verificar que kernel.apparmor_restrict_unprivileged_userns=1 esté activado para bloquear la creación de namespaces no confinados. Monitorear eventos de creación de namespaces y ejecuciones mediante aa-exec para detectar intentos de explotación.
Referencias