Investigadores de seguridad han publicado un exploit detallado y funcional para un kernel de Linux de uso libre que permite a un usuario local sin privilegios escalar a root y salir de un contenedor.
La falla, CVE-2026-23111, se encuentra en el código de filtrado de paquetes nf_tables del kernel y fue parcheado aguas arriba el 5 de febrero de 2026. Exodus Intelligence lanzó su tutorial técnico completo el 8 de junio, y ni siquiera es el primer exploit público: FuzzingLabs publicó un reproducción independiente allá por abril.
La falla se redujo a un solo carácter perdido, una marca invertida en nf_tables, y la solución ascendente lo eliminó en una línea. Ubuntu califica el defecto CVSS 7.8 (alto). Si el paquete del kernel de su distribución aún no incluye la solución, actualice y reinicie.
La configuración accesible es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta normal actúe como root dentro de una zona de pruebas privada y acceda al código del kernel que de otro modo no podría.
Ambos se envían de forma predeterminada en la mayoría de las computadoras de escritorio y en muchas versiones de servidores. No existe un vector remoto por sí solo. Este es un error que un atacante aprovecha después de establecerse, convertir un shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.
El investigador de Exodus, Oliver Sieber, que encontró el error a principios de 2025, lo encadenó a una raíz local completa. El exploit activa el uso después de la liberación, evita las protecciones de memoria integradas del kernel y luego toma el control de la ejecución para otorgarse root y salir del espacio de nombres del contenedor.
Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS.
FuzzingLabs reprodujo el error en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit raíz por una ruta diferente. El cronograma es ajustado: la solución se envió el 5 de febrero, FuzzingLabs se publicó el 16 de abril y el artículo detallado de Exodus llegó el 8 de junio.
La técnica ahora está documentada en Debian, Ubuntu y Red Hat. Debido a que el error está en la línea principal, cualquier distribución que envíe un kernel vulnerable con ambas características habilitadas está expuesta, a menos que el endurecimiento o las restricciones de espacio de nombres de una distribución bloqueen la ruta.
CVE-2026-23111 aparece en medio de una gran cantidad de divulgaciones de raíz local de Linux. Las últimas semanas han traído Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt, y una falla de ptrace de nueve años que lee /etc/shadow y ejecuta comandos como root.
Difieren en los detalles, pero comparten la parte que debería preocupar a los defensores: un punto de apoyo sin privilegios sigue convirtiéndose en root en instalaciones normales.
Actualice el kernel y reinicie. El error es solo local y necesita espacios de nombres de usuario sin privilegios, así que concéntrese primero en los sistemas que permiten que los usuarios o cargas de trabajo que no son de confianza los creen.
Ubuntu tiene correcciones para 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con un backport 6.1 para Bullseye LTS. Red Hat, SUSE y Amazon Linux también rastrean la falla; Consulte el aviso de su distribución para encontrar el paquete del kernel que coincida con el suyo, ya que la versión fija exacta varía. La solución inicial fue una sola línea de código.
Hay un panorama más amplio. en un revisión reciente del aumento de LPESynacktiv vincula el ritmo con la investigación asistida por IA y la diferenciación de parches que eliminan los exploits funcionales antes de que se propaguen las correcciones, y argumenta que el endurecimiento ordinario aún les da tiempo a los defensores.
La mayoría de estos errores se basan en características opcionales del kernel o valores predeterminados flexibles, por lo que cortar lo que los usuarios sin privilegios pueden alcanzar, en este caso los espacios de nombres de usuario, retrasa el exploit hasta que se implementa el parche.
No hay informes públicos de explotación en la naturaleza y ningún actor de amenazas ha sido vinculado a ella. El parche ha estado disponible desde febrero y el código de explotación es público desde abril.
