CVE-2026-46300｜Linux内核"Fragnisia"本地权限提升漏洞(POC)

0x00 前言

Linux系统是一种开源的类Unix操作系统内核，由于其强大的可定制性和稳定性，Linux已被广泛应用于服务器、移动设备、物联网设备等多个领域。

Linux系统在发展过程中吸引了全球范围内的开发者，形成了一个强大的社区。它采用了GNU通用公共许可证（GPL），这意味着它是自由开源的，并鼓励用户共享和修改代码。这也导致了许多不同的Linux发行版，如Ubuntu、Fedora、Debian等。

一些知名的Linux发行版本包括：
Ubuntu:由Canonical公司维护，以易用性和用户友好性而闻名。
Debian:以稳定性和自由软件的支持而著称，许多其他发行版基于Debian构建。
RHEL (Red Hat Enterprise Linux):面向企业市场，提供长期支持和专业的技术支持。
CentOS:由Red Hat公司提供支持，注重稳定性和企业应用。
Fedora:由Red Hat公司支持，注重创新和最新的软件。
Arch Linux:以简洁和灵活而著称，面向高级用户。
openSUSE:由openSUSE项目维护，有两个主要版本：Leap（稳定版）和Tumbleweed（滚动更新）。
Gentoo:以源代码为基础，允许用户根据自己的硬件和需求定制系统。
Slackware:是最古老的现代Linux发行版之一，注重简洁和纯净。
Manjaro:基于Arch Linux，提供易用性和用户友好的桌面环境。
Linux Mint:基于Ubuntu和Debian，注重用户友好性和多媒体支持。
Elementary OS:以漂亮的用户界面和直观的设计而著称。
Kali Linux:专注于网络安全和渗透测试，包含许多安全工具。
Alpine Linux:专注于轻量级和安全性，常用于容器化环境。

0x01 漏洞描述

PS：漏洞作者目前根据补丁又进行了绕过

该漏洞利用 Linux XFRM ESP-in-TCP 子系统中的逻辑错误，无需任何竞争条件即可实现对只读文件的内核页缓存进行任意字节写入。

这项技术扩展了包括"Dirty Pipe"在内的页缓存写入漏洞类别：当 TCP 套接字在数据已从文件拼接到接收队列后转换为 espintcp ULP 模式时，内核会将队列中的文件页面作为 ESP 密文处理。计数器块位置 2、字节 0 处的 AES-GCM 密钥流字节直接与缓存文件页面进行 XOR 操作。通过选择 IV nonce 来生成所需的密钥流字节，可以将文件中的任何目标字节设置为任何值——每次触发调用一个字节。

漏洞利用代码构建了一个 256 条目查找表，将每个可能的密钥流字节映射到对应的 nonce，然后遍历有效载荷，为每个需要更改的字节触发拼接/ULP 竞争。它将一个小型位置无关的 ELF 存根（setresuid/setresgid/execve /bin/sh）写入页缓存中 /usr/bin/su 的前 192 字节，然后调用 execve("/usr/bin/su") 获取 root shell。页缓存修改不会回写到磁盘；磁盘上的二进制文件保持不变。

0x02 CVE编号

CVE-2026-46300

0x03 影响版本

影响范围与所有受"Dirty Frag"影响的Linux内核版本基本相同。

从cef401de7be8到未安装2026年5月13日补丁的内核版本（即2026年5月13日之前发布的Linux内核）

Ubuntu默认的AppArmor配置会限制非特权user namespace,因此默认情况下无法利用成功。

0x04 漏洞详情

POC:

https://github.com/v12-security/pocs/tree/main/fragnesia

git clone https://github.com/v12-security/pocs.git && cd pocs/fragnesia && gcc -o exp fragnesia.c && ./exp

Ubuntu 注意事项： 
AppArmor 默认限制非特权用户命名空间。必须先运行：
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

0x05 参考链接

https://lists.openwall.net/netdev/2026/05/13/79

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持