🔎 O que é?
A Fragnesia (CVE-2026-46300) é uma nova vulnerabilidade crítica de escalada de privilégios locais no kernel Linux, divulgada publicamente a 13 de maio de 2026.
Esta vulnerabilidade afeta o subsistema XFRM/ESP do kernel Linux, mais concretamente o mecanismo ESP-in-TCP (espintcp ULP), permitindo que um utilizador local sem privilégios obtenha acesso root ao sistema.
Segundo os investigadores responsáveis pela divulgação, a vulnerabilidade permite modificar dados críticos diretamente na page cache do kernel através de operações legítimas do sistema, conduzindo à execução de código privilegiado.
Tal como aconteceu com as vulnerabilidades Copy Fail e Dirty Frag divulgadas nas semanas anteriores, já existe um proof-of-concept público totalmente funcional.
⚠️ O que afeta?
A vulnerabilidade afeta múltiplas a maioria dos sistemas operativos / distribuições Linux, incluindo versões do CloudLinux e AlmaLinux, como:
- CloudLinux 7h
- CloudLinux 8
- CloudLinux 9
- CloudLinux 10
O CloudLinux 7 não é afetado.
O impacto é particularmente relevante em ambientes multi-utilizador, como:
- Soluções de Alojamento Partilhado
- Servidores Virtuais Privados
- Infraestruturas multi-tenant
- Ambientes containerizados
Uma vez que a exploração pode ser realizada por qualquer utilizador local sem privilégios, o risco de escalada para root é considerado elevado.
🧠 Impacto técnico
A Fragnesia explora um problema lógico no caminho ESP-in-TCP (espintcp) do kernel Linux.
Em determinadas circunstâncias, o kernel pode interpretar páginas de memória previamente associadas a ficheiros como dados ESP cifrados, efetuando operações de desencriptação diretamente sobre páginas presentes na page cache.
Segundo os detalhes técnicos divulgados, esta vulnerabilidade permite a realização de escritas arbitrárias controladas na memória cache de ficheiros legíveis pelo sistema.
O proof-of-concept público atualmente disponível demonstra a exploração através da modificação temporária do binário /usr/bin/su diretamente em memória, permitindo a obtenção de privilégios root de forma consistente e sem necessidade de race conditions.
A exploração pode ser realizada através de um único comando por utilizadores locais sem privilégios.
🛡️ Mitigação da Vulnerabilidade
A mitigação temporária recomendada pela CloudLinux é idêntica à anteriormente utilizada para a vulnerabilidade Dirty Frag.
Até à instalação de kernels corrigidos ou livepatches KernelCare, recomenda-se a desativação dos módulos:
esp4esp6rxrpc
Através da criação de regras de blacklist no modprobe e descarregamento dos módulos da memória.
Os clientes que já aplicaram a mitigação anteriormente recomendada para Dirty Frag não necessitam de realizar ações adicionais, uma vez que a mesma medida bloqueia também a exploração da Fragnesia.
Após aplicação da mitigação, é igualmente recomendado efetuar limpeza da page cache do sistema, uma vez que o exploit pode modificar binários legítimos apenas em memória.
Importa referir que a desativação dos módulos ESP pode afetar sistemas que utilizem IPsec, StrongSwan ou Libreswan.
🏗️ O que já fizemos
Após a divulgação pública da vulnerabilidade Fragnesia, iniciámos imediatamente o acompanhamento técnico da situação e validação do impacto potencial na nossa infra-estrutura.
Uma vez que a mitigação anteriormente aplicada para Dirty Frag é igualmente eficaz contra esta vulnerabilidade, os sistemas já protegidos encontram-se abrangidos pelas medidas preventivas previamente implementadas.
Em paralelo:
- Mantém-se ativo o acompanhamento contínuo dos advisories CloudLinux e AlmaLinux
- Está em curso a validação das versões corrigidas do kernel
- A nossa equipa técnica encontra-se a preparar a aplicação faseada dos patches oficiais
- Continuam reforçados os mecanismos de monitorização preventiva nos ambientes multi-utilizador
Nos sistemas protegidos com Imunify360, encontram-se igualmente ativas proteções adicionais associadas aos indicadores de compromisso conhecidos.
📅 Linha de Tempo
13/05/2026 – Divulgação pública da vulnerabilidade Fragnesia (CVE-2026-46300)
13/05/2026 – Publicação de proof-of-concept funcional
13/05/2026 – CloudLinux publica advisory oficial e medidas de mitigação
14/05/2026 – Identificação de caminhos adicionais de exploração
15/05/2026 – Disponibilização progressiva de kernels corrigidos e livepatches KernelCare
✅ Estado atual
🟡 Mitigação ativa e aplicação de patches em curso
Neste momento, a WebTuga encontra-se a acompanhar ativamente a disponibilização das versões corrigidas do kernel Linux para os sistemas CloudLinux e AlmaLinux afetados.
Os sistemas anteriormente protegidos contra Dirty Frag encontram-se já abrangidos pela mitigação atualmente recomendada para Fragnesia.
Em paralelo, encontra-se em preparação a aplicação faseada dos kernels corrigidos e livepatches KernelCare assim que considerados estáveis pelos fornecedores.
Este processo está a ser conduzido com prioridade elevada pela nossa equipa técnica.
🧾 Conclusão
A Fragnesia (CVE-2026-46300) representa mais uma vulnerabilidade crítica de escalada de privilégios locais no kernel Linux, explorável por utilizadores locais sem privilégios e já acompanhada por proof-of-concepts públicos funcionais.
Embora a mitigação atualmente recomendada seja idêntica à utilizada anteriormente para Dirty Frag, a rápida sucessão destas vulnerabilidades demonstra a importância da monitorização contínua e aplicação atempada de atualizações de segurança ao nível do kernel.
A WebTuga continua a acompanhar ativamente esta situação e a implementar todas as medidas necessárias para garantir a proteção e estabilidade dos sistemas sob gestão da nossa equipa técnica.