Fragnesia: Nova Vulnerabilidade no Linux Permite Escalada de Privilégios e Acesso Root
Pesquisadores descobriram uma nova vulnerabilidade no Linux, chamada Fragnesia, que permite a um atacante local obter acesso root em diversas distribuições populares. A falha, que afeta o subsistema XFRM ESP-in-TCP, já possui um exploit PoC disponível e está sendo corrigida por diversas distribuições.
MundiX News·15 de maio de 2026·2 min de leitura·👁 3 views
Pesquisadores de segurança descobriram uma nova vulnerabilidade de escalada de privilégios no Linux, batizada de Fragnesia. A falha permite que um atacante local obtenha acesso root na maioria das distribuições populares. A vulnerabilidade, identificada como CVE-2026-46300, reside no subsistema XFRM ESP-in-TCP do kernel Linux. Ela permite que um usuário local não privilegiado obtenha acesso root através da modificação do cache de páginas de arquivos somente leitura.
A descoberta foi feita por William Bowling, especialista da empresa Zellic. Segundo Bowling, Fragnesia pertence à mesma classe de vulnerabilidades que as falhas Dirty Frag e CopyFail, descobertas anteriormente neste mês. No entanto, Fragnesia é um problema distinto e já recebeu seu próprio patch de correção. A vulnerabilidade afeta todas as versões do kernel Linux lançadas antes de 13 de maio de 2026. Um exploit PoC (Proof of Concept) já foi publicado, demonstrando a obtenção de acesso root através da corrupção do cache de páginas do binário /usr/bin/su.
Especialistas da Wiz explicam que o problema está relacionado a um erro lógico no XFRM ESP-in-TCP. O exploit permite a escrita de bytes arbitrários no cache de páginas do kernel para arquivos montados em modo somente leitura. Ao contrário de muitas outras vulnerabilidades de escalada de privilégios (LPE), a exploração de Fragnesia não requer a provocação de condições de corrida (race conditions) ou outras condições adicionais. Patches para Fragnesia já estão sendo lançados por desenvolvedores de distribuições como AlmaLinux, Amazon Linux, Debian, Ubuntu, Red Hat e SUSE. Os usuários são fortemente encorajados a atualizar seus kernels o mais rápido possível ou, pelo menos, desativar temporariamente os módulos vulneráveis. A Wiz observa que as restrições do AppArmor para namespaces de usuários não privilegiados podem dificultar parcialmente a exploração da falha, mas isso não pode ser considerado uma proteção completa. Embora ainda não tenham sido detectados ataques reais utilizando Fragnesia, outras LPEs recentes no Linux já estão sendo exploradas por hackers. Por exemplo, no início de maio, a CISA adicionou a vulnerabilidade CopyFail ao seu catálogo de bugs explorados ativamente e exigiu que as agências federais americanas corrigissem o problema até 15 de maio.
Pesquisadores de segurança descobriram uma nova vulnerabilidade de escalada de privilégios no Linux, batizada de Fragnesia. A falha permite que um atacante local obtenha acesso root na maioria das distribuições populares. A vulnerabilidade, identificada como CVE-2026-46300, reside no subsistema XFRM ESP-in-TCP do kernel Linux. Ela permite que um usuário local não privilegiado obtenha acesso root através da modificação do cache de páginas de arquivos somente leitura.
A descoberta foi feita por William Bowling, especialista da empresa Zellic. Segundo Bowling, Fragnesia pertence à mesma classe de vulnerabilidades que as falhas Dirty Frag e CopyFail, descobertas anteriormente neste mês. No entanto, Fragnesia é um problema distinto e já recebeu seu próprio patch de correção. A vulnerabilidade afeta todas as versões do kernel Linux lançadas antes de 13 de maio de 2026. Um exploit PoC (Proof of Concept) já foi publicado, demonstrando a obtenção de acesso root através da corrupção do cache de páginas do binário /usr/bin/su.
Especialistas da Wiz explicam que o problema está relacionado a um erro lógico no XFRM ESP-in-TCP. O exploit permite a escrita de bytes arbitrários no cache de páginas do kernel para arquivos montados em modo somente leitura. Ao contrário de muitas outras vulnerabilidades de escalada de privilégios (LPE), a exploração de Fragnesia não requer a provocação de condições de corrida (race conditions) ou outras condições adicionais. Patches para Fragnesia já estão sendo lançados por desenvolvedores de distribuições como AlmaLinux, Amazon Linux, Debian, Ubuntu, Red Hat e SUSE. Os usuários são fortemente encorajados a atualizar seus kernels o mais rápido possível ou, pelo menos, desativar temporariamente os módulos vulneráveis. A Wiz observa que as restrições do AppArmor para namespaces de usuários não privilegiados podem dificultar parcialmente a exploração da falha, mas isso não pode ser considerado uma proteção completa. Embora ainda não tenham sido detectados ataques reais utilizando Fragnesia, outras LPEs recentes no Linux já estão sendo exploradas por hackers. Por exemplo, no início de maio, a CISA adicionou a vulnerabilidade CopyFail ao seu catálogo de bugs explorados ativamente e exigiu que as agências federais americanas corrigissem o problema até 15 de maio.
