A JFrog publicou detalhes técnicos e uma prova de conceito (PoC, do inglês Proof of Concept) para uma vulnerabilidade recente de alta severidade no kernel do Linux, que pode permitir que qualquer usuário local obtenha privilégios de root.
Rastreada como CVE-2026-43503 (pontuação CVSS — Sistema de Pontuação de Vulnerabilidades Comuns — de 8,8) e conhecida como DirtyClone, a falha de escalonamento local de privilégios foi corrigida em 24 de maio, pouco após ser reportada aos mantenedores do kernel do Linux.
Agora, a JFrog explica que a falha é uma variante da DirtyFrag (também conhecida como Copy Fail 2) e da Fragnesia, que foram corrigidas em meados de maio. Elas compartilham semelhanças com a Dirty Pipe, um defeito do kernel do Linux divulgado em 2022.
Esses defeitos de segurança relacionados à corrupção de memória, que afetam o núcleo da pilha de rede do kernel do Linux, estão enraizados na forma como os buffers de socket (skb, do inglês socket buffer) fazem referência à memória compartilhada do cache de páginas, e podem ser armados por meio de transformações criptográficas in-loco em vários subsistemas.
As falhas demonstram "um padrão de exploração mais amplo que afeta múltiplos caminhos de processamento de skb (buffer de socket), mostrando que a primitiva de ataque subjacente não se limita a um único caminho de código vulnerável", afirma a JFrog.
Em um nível mais alto, as vulnerabilidades existem porque o kernel não separa o cache de páginas usado para executáveis e arquivos dos dados de pacotes processados por meio de caminhos de cópia zero, e das transformações in-loco, como criptografia e descriptografia, que gravam de volta no mesmo buffer.
"Quando esses três contextos se cruzam, o kernel pode modificar memória que ainda está semanticamente vinculada a um arquivo, levando à corrupção dos dados respaldados por arquivo no próprio local", afirma a JFrog.
De acordo com a empresa de cibersegurança, embora a correção para a DirtyFrag defina um sinalizador de metadados para pacotes UDP (User Datagram Protocol) processados via splice, com o objetivo de evitar a modificação direta de páginas respaldadas por arquivo, o patch para a Fragnesia garante que o sinalizador se propague entre as funções.
Atualizar para a versão 7.1-rc5 do kernel do Linux impede a exploração da DirtyClone. Apenas os kernels que contêm a cadeia completa de correções para a família de vulnerabilidades DirtyFrag estão protegidos.
"Sistemas inteiramente sem patch para as falhas originais (CVE-2026-43284 e CVE-2026-43500) permanecem amplamente expostos. Além disso, qualquer branch do kernel mainline, estável ou LTS (Suporte de Longo Prazo) que tenha aplicado as mitigações iniciais, mas que não disponha dos patches subsequentes (CVE-2026-46300 e CVE-2026-43503), permanece vulnerável a bypasses específicos", explica a JFrog.
Distribuições Linux populares que habilitam namespaces de usuário sem privilégios, como Debian, Fedora e Ubuntu, são afetadas.
Qualquer usuário local com a capacidade CAP_NET_ADMIN (capacidade de administração de rede no Linux) em um servidor ou dispositivo executando uma versão afetada do kernel pode obter privilégios de root. Isso representa um alto risco para ambientes de nuvem multilocatários, clusters Kubernetes e cargas de trabalho em contêineres, afirma a empresa.
