Fragnesia, identificada como CVE-2026-46300, es la tercera escalada local de privilegios en el kernel Linux divulgada en apenas tres semanas dentro de una familia de fallos que afecta a rutas relacionadas con XFRM, ESP e IPsec. Llega después de Copy Fail, publicado el 29 de abril, y de Dirty Frag, divulgado el 7 de mayo, y vuelve a colocar a administradores de sistemas, proveedores de hosting y equipos de seguridad ante una decisión urgente: mitigar ya o esperar a kernels corregidos con el riesgo de tener una prueba de concepto pública circulando.
La vulnerabilidad ha sido bautizada como Fragnesia por William Bowling y el equipo de V12 Security. Aunque está relacionada con la misma zona del kernel que Dirty Frag, no es una simple reedición ni una nueva marca para el mismo problema. Es un fallo distinto, situado en la ruta ESP-in-TCP del subsistema XFRM, con capacidad para permitir que un usuario local sin privilegios acabe obteniendo permisos de root.
El punto más delicado es que el exploit público no depende de una carrera compleja ni de condiciones difíciles de reproducir. Según los análisis técnicos publicados, el fallo permite manipular la caché de páginas del kernel y alterar en memoria el contenido de binarios legítimos. El ejemplo descrito por los investigadores apunta a /usr/bin/su: el binario en disco no se modifica, pero su copia en caché puede quedar alterada lo suficiente como para que una ejecución posterior acabe entregando una shell con privilegios de root.
Un fallo distinto, pero con la misma mitigación urgente
Fragnesia explota una lógica incorrecta cuando un socket TCP pasa a modo espintcp después de que ya se hayan introducido páginas de archivo en la cola de recepción mediante operaciones como splice(2) o sendfile(2). En ese escenario, el kernel puede tratar esas páginas como si fueran texto cifrado ESP y descifrarlas en el sitio. La consecuencia es una escritura controlada en la caché de páginas, suficiente para construir una primitiva de escritura byte a byte sobre archivos de solo lectura.
Dicho en términos menos técnicos: un usuario sin privilegios puede aprovechar una ruta de red del kernel para cambiar temporalmente cómo ve el sistema ciertos binarios cargados en memoria. Si se consigue manipular un binario sensible, la escalada a root es directa.
La mitigación inmediata recomendada por CloudLinux y recogida también por análisis de seguridad externos es la misma que se propuso para Dirty Frag: bloquear los módulos esp4, esp6 y rxrpc, siempre que el servidor no dependa de IPsec, strongSwan, Libreswan, túneles ESP o AFS/RxRPC.
En sistemas donde sea viable, el bloqueo puede aplicarse así:
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Después de aplicar la mitigación, si existe sospecha de explotación previa, conviene limpiar la caché de páginas o reiniciar el sistema para forzar la recarga desde disco de los binarios legítimos:
sudo sh -c "echo 3 > /proc/sys/vm/drop_caches"Esta medida no sustituye al parche del kernel. Solo reduce la exposición mientras llegan los paquetes corregidos o los livepatches. También tiene impacto funcional: deshabilitar esp4 y esp6 puede romper túneles IPsec en servidores que los terminen o transiten. En esos casos, la mitigación debe evaluarse con cuidado antes de aplicarse.
Qué distribuciones están afectadas
La situación todavía está evolucionando. CloudLinux ha confirmado que CloudLinux 7 no está afectado, pero sí CloudLinux 7 Hybrid, CloudLinux 8, CloudLinux 9 y CloudLinux 10. Para CL7h y CL8 se preparan kernels propios de CloudLinux; para CL9 y CL10, la actualización dependerá del kernel de AlmaLinux. KernelCare también prepara livepatches para las versiones afectadas, lo que permitiría aplicar la corrección sin reiniciar cuando estén disponibles.
Red Hat ha incorporado Fragnesia a su boletín de Dirty Frag como CVE-2026-46300 y confirma afectación en Red Hat Enterprise Linux 8, 9 y 10, además de OpenShift 4. El proveedor clasifica el impacto como “Important” y mantiene el boletín en estado activo. Su documentación también advierte de que bloquear esp4, esp6 y rxrpc puede romper IPsec o AFS, y recomienda evaluar el impacto operativo antes de aplicar la mitigación.
En Ubuntu y Debian la fotografía pública es menos clara en el momento de redactar este artículo. Canonical sí publicó información y correcciones para Dirty Frag, indicando que ese conjunto de vulnerabilidades afectaba a múltiples distribuciones, incluidas todas las versiones de Ubuntu. Para Fragnesia, no se ha localizado todavía una ficha pública específica de Canonical asociada a CVE-2026-46300. El repositorio del PoC de V12 Security incluye una nota sobre Ubuntu: AppArmor restringe por defecto los espacios de nombres de usuario no privilegiados, lo que eleva la dificultad de explotación en determinadas configuraciones, aunque no debe interpretarse como una corrección del fallo.
En Debian tampoco aparece todavía una entrada pública clara para CVE-2026-46300 en el tracker consultado. Esto no significa que Debian esté necesariamente a salvo; significa que los administradores deben seguir los avisos oficiales de su distribución y no asumir que la ausencia de ficha equivale a ausencia de exposición. Lo prudente en Debian, Ubuntu, Proxmox y derivados es revisar versiones de kernel, monitorizar los canales de seguridad y aplicar mitigaciones temporales si el entorno no necesita ESP/IPsec ni RxRPC.
| Distribución o familia | Estado conocido a 13/05/2026 |
|---|---|
| CloudLinux 7 | No afectado según CloudLinux |
| CloudLinux 7h, 8, 9 y 10 | Afectados; parches y livepatches en preparación |
| RHEL 8, 9 y 10 | Afectados según Red Hat |
| OpenShift 4 | Afectado según Red Hat |
| Ubuntu | Sin ficha específica localizada para Fragnesia; Dirty Frag sí afectaba a Ubuntu |
| Debian | Sin entrada pública clara localizada para CVE-2026-46300 en el tracker consultado |
| AlmaLinux / Rocky / Oracle Linux | Deben seguir los avisos de su proveedor; las ramas EL comparten exposición por familia de kernel |
Por qué preocupa especialmente en servidores compartidos
Fragnesia es una vulnerabilidad local. No permite entrar desde Internet por sí sola. Para explotarla, el atacante necesita ejecutar código en el servidor: una cuenta de usuario, un contenedor con suficiente superficie, una aplicación comprometida, una shell obtenida por otra vulnerabilidad o un entorno multiusuario.
Por eso el riesgo es mayor en servidores de hosting compartido, plataformas con usuarios locales, entornos de desarrollo, máquinas con acceso SSH para terceros, clústeres con workloads no confiables y sistemas donde una aplicación web comprometida pueda convertirse en punto de entrada. En esos escenarios, una vulnerabilidad local de privilegios puede transformar un incidente limitado en un compromiso completo del servidor.
La cadena de las últimas semanas también obliga a una reflexión más amplia. Copy Fail, Dirty Frag y Fragnesia explotan zonas donde se cruzan memoria, caché de páginas, networking y rutas históricas del kernel. No son fallos triviales de configuración. Son errores profundos en caminos de ejecución que muchas organizaciones ni siquiera sabían que podían convertirse en una vía práctica para obtener root.
Para los administradores, las acciones prioritarias son claras: revisar si los módulos afectados están cargados, aplicar mitigación si no se usan IPsec ni RxRPC, planificar actualización de kernel, limpiar caché o reiniciar si se sospecha explotación, y monitorizar logs en busca de actividad local sospechosa. En sistemas con KernelCare u otras tecnologías de livepatching, conviene verificar explícitamente si la corrección para CVE-2026-46300 ya está instalada, no solo si el sistema está “al día” de forma genérica.
También hay que evitar una falsa sensación de seguridad. Herramientas como Imunify360 pueden bloquear intentos observados y aportar una capa adicional de defensa, pero no corrigen la causa en el kernel. La solución definitiva sigue siendo aplicar el parche del proveedor o el livepatch correspondiente.
Fragnesia no es una vulnerabilidad más en una larga lista de CVEs. Es la confirmación de que los fallos de escalada local en Linux siguen teniendo impacto directo en operaciones reales, especialmente cuando hay PoC público y la explotación es fiable. En servidores donde conviven muchos usuarios, clientes o workloads, la ventana entre divulgación y parche vuelve a ser el momento más peligroso.
Preguntas frecuentes
¿Qué es Fragnesia?
Fragnesia es una vulnerabilidad de escalada local de privilegios en el kernel Linux, identificada como CVE-2026-46300. Afecta a la ruta ESP-in-TCP del subsistema XFRM y puede permitir que un usuario local sin privilegios obtenga root.
¿Es lo mismo que Dirty Frag?
No. Fragnesia es un fallo distinto, aunque pertenece a la misma familia técnica y afecta a una zona relacionada del kernel. La mitigación temporal recomendada es similar a la de Dirty Frag.
¿Puedo aplicar la mitigación en cualquier servidor?
No siempre. Bloquear esp4 y esp6 puede romper túneles IPsec, strongSwan o Libreswan. Si el servidor usa IPsec, hay que evaluar alternativas y seguir las instrucciones del proveedor antes de aplicar el bloqueo.
¿Qué debo hacer si uso Ubuntu o Debian?
Revisar los avisos oficiales de seguridad, actualizar el kernel en cuanto haya paquetes corregidos y aplicar mitigación temporal si el servidor no depende de ESP/IPsec ni RxRPC. En el momento de redactar este artículo no se había localizado una ficha pública específica de Canonical o Debian para CVE-2026-46300.
