Se han liberado detalles técnicos y el parche oficial para la vulnerabilidad CVE-2026-31431 (ahora renombrada formalmente en su variante definitiva como CVE-2026-46300, apodada Fragnesia). Es una evolución crítica del concepto de "Dirty Frag" que afecta a la gestión de fragmentos de página compartidos en el subsistema ESP-in-TCP del núcleo de Linux.
A diferencia de las escaladas de privilegios habituales, este ataque no depende de condiciones de carrera aleatorias, lo que significa que el exploit funciona de manera determinista el 100% de las veces.
El mecanismo de bajo nivel aprovecha un defecto de lógica en la función de fusión de buffers de socket (skb merge). Un usuario con permisos mínimos puede inyectar bytes arbitrarios directamente en la caché de páginas de memoria de binarios del sistema esenciales (como /usr/bin/su o /usr/bin/sudo).
Al ejecutar un script corto, las instrucciones modificadas se procesan directamente en la memoria activa sin llegar a alterar el archivo físico en el disco, evadiendo por completo las herramientas tradicionales de hash de disco y auditoría de integridad.
La vulnerabilidad afecta a prácticamente todas las distribuciones con kernels recientes (Ubuntu, RHEL, Debian, Arch). Mientras se compilan e instalan los parches de hoy, la mitigación de emergencia en servidores pasa por bloquear la creación de sockets de tipo AF_ALG mediante configuraciones de Seccomp para evitar el escape de contenedores en entornos de nube.
Fuente: Linux Kernel Fragnesia Privilege Escalation Vulnerability (CVE-2026-46300) Notice - NSFOCUS