Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad en el kernel de Linux que no fue detectada durante nueve años.
La vulnerabilidad, identificada como CVE-2026-46333 (puntuación CVSS: 5,5), es un caso de gestión inadecuada de privilegios que podría permitir a un usuario local sin privilegios revelar archivos confidenciales y ejecutar comandos arbitrarios como root en instalaciones predeterminadas de varias distribuciones importantes como Debian, Fedora y Ubuntu. También tiene el nombre en código ssh-keysign-pwn.
Según Qualys, que descubrió la falla, el problema tiene su origen en la función __ptrace_may_access() del kernel y se introdujo en noviembre de 2016.
«La primitiva es confiable y convierte cualquier shell local en un camino hacia la raíz o hacia material de credenciales sensible», dijo Saeed Abbasi, gerente senior de la Unidad de Investigación de Amenazas de Qualys.
La explotación exitosa de la falla podría permitir a un atacante local revelar /etc/shadow y alojar claves privadas en /etc/ssh/*_key, así como ejecutar comandos arbitrarios como root a través de cuatro exploits diferentes dirigidos a chage, ssh-keysign, pkexec y account-daemon.
La divulgación se produce cuando la semana pasada se lanzó una prueba de concepto (PoC) para la vulnerabilidad, poco después de que surgiera una confirmación pública del kernel. CVE-2026-46333 es la última vulnerabilidad de seguridad revelada en el kernel de Linux después de Copy Fail, Dirty Frag y Fragnesia durante el último mes.
Se recomienda aplicar la última actualización del kernel publicada por las distribuciones de Linux. Si las actualizaciones no se pueden realizar inmediatamente, las soluciones temporales incluyen elevar «kernel.yama.ptrace_scope» a 2.
«En los hosts que han permitido usuarios locales que no son de confianza durante el período de exposición, trate las claves de host SSH y las credenciales almacenadas en caché local como potencialmente reveladas», dijo Qualys. «Rote las claves del host y revise cualquier material administrativo que viva en la memoria de los procesos set-uid».
El desarrollo sigue al lanzamiento de una PoC para una falla de escalada de privilegios local llamada Robo de pines que permite a los atacantes locales obtener privilegios de root en los sistemas Arch Linux. El exploit requiere que el módulo Reliable Datagram Sockets (RDS) esté cargado en el sistema de destino, que io_ring esté habilitado, un binario SUID-root legible y soporte x86_64 para la carga útil incluida.
«PinTheft es un exploit de escalada de privilegios locales de Linux para una copia cero de RDS doblemente libre que se puede convertir en una sobrescritura de caché de página a través de buffers fijos io_uring», dijeron Zellic y el equipo de seguridad de V12.
«El error se encontraba en la ruta de envío de copia cero de RDS. rds_message_zcopy_from_user() fija las páginas de usuario una a la vez. Si una página posterior falla, la ruta de error descarta las páginas que ya fijó, y la limpieza posterior de mensajes RDS las descarta nuevamente porque las entradas de la lista de dispersión y el recuento de entradas permanecen activas después de que se borra el notificador de zcopy. Cada envío fallido de copia cero puede robar una referencia de la primera página».