¿Qué es Fragnesia?
Fragnesia (CVE-2026-46300) es una vulnerabilidad de escalación local de privilegios en el kernel de Linux con puntuación CVSS 7.8. Fue divulgada el 13 de mayo de 2026 y nació como consecuencia de un parche incompleto de Dirty Frag.
El fallo está en la función skb_try_coalesce() del kernel: al transferir fragmentos paginados entre buffers, no propaga el marcador SKBFL_SHARED_FRAG. El kernel pierde la noción de que un fragmento depende de un respaldo externo (páginas de la caché de archivos), lo que permite que un atacante encadene la operación con la ruta de recepción de IPsec ESP-in-TCP para realizar un XOR de un keystream elegido sobre archivos solo-lectura como /usr/bin/su y obtener root.
Existe prueba de concepto pública desarrollada por William Bowling (Zellic) y el equipo V12. No se ha observado explotación masiva, pero el riesgo es elevado por la facilidad de explotación.
¿Te afecta?
Sí, si ejecutas cualquiera de estos sistemas sin parchear:
- AlmaLinux 8, 9 y 10 (incluida la rama Kitten 10)
- CloudLinux 8, 9 y 10
- Rocky Linux, RHEL, Ubuntu, Debian y otras distribuciones que utilicen kernels Linux modernos con los módulos
esp4/esp6disponibles
En AlmaLinux 9 y 10 el módulo rxrpc (vía kernel-modules-partner) también está implicado.
Cómo comprobar si tu servidor está vulnerable
uname -rCompara la salida con las versiones parcheadas a continuación.
Cómo mitigar
| Opción | Ideal para | ¿Reinicio? | ¿Duradero? |
|---|---|---|---|
| Instalar kernel parcheado del vendor | Todos, solución a largo plazo | Sí | Sí |
| Livepatch de KernelCare | Servidores con KernelCare | No | Sí |
| Blacklist de módulos esp4/esp6/rxrpc | Mientras esperas el parche | No | Temporal |
Opción A: kernel parcheado del vendor
Versiones mínimas con la corrección:
- AlmaLinux / CloudLinux / Rocky 8:
kernel-4.18.0-553.124.3.el8_10 - AlmaLinux / CloudLinux / Rocky 9:
kernel-5.14.0-611.54.5.el9_7 - AlmaLinux / CloudLinux / Rocky 10:
kernel-6.12.0-124.56.3.el10_1 - Kitten 10:
kernel-6.12.0-227.el10
Si el kernel parcheado aún no está en el canal estable, instálalo desde el canal de pruebas (ejemplo para AlmaLinux):
dnf -y install almalinux-release-testing
dnf -y --enablerepo=almalinux-testing upgrade 'kernel*'
rebootOpción B: livepatch de KernelCare
kcarectl --update
kcarectl --patch-info | grep CVE-2026-46300No requiere reinicio.
Opción C: blacklist de módulos (workaround temporal)
Desactiva los módulos vulnerables. Rompe IPsec ESP y RxRPC, así que úsalo solo en servidores que no dependen de esos servicios:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf"
rmmod esp4 esp6 rxrpc 2>/dev/null; trueTras aplicar el blacklist, vacía la caché de páginas:
echo 3 > /proc/sys/vm/drop_cachesCuando instales el kernel parcheado, elimina el blacklist:
rm /etc/modprobe.d/fragnesia.confDespués de mitigar
- Confirma el kernel en ejecución con
uname -r. - Verifica el paquete instalado con
rpm -q kernel. - Si usas KernelCare, confirma el livepatch con
kcarectl --patch-info | grep CVE-2026-46300. - Si aplicaste tanto el parche de Dirty Frag como el de Fragnesia con el workaround de blacklist, recuerda eliminar ambos archivos
/etc/modprobe.d/dirtyfrag.confy/etc/modprobe.d/fragnesia.conf.
¿Necesitas ayuda?
Abre un ticket en soporte.telecu.cloud y menciona la referencia: Fragnesia (CVE-2026-46300).