Pesquisadores de segurança publicaram um exploit (código de exploração) detalhado e funcional para uma vulnerabilidade do tipo use-after-free (uso após liberação de memória) no kernel do Linux que permite a um usuário local sem privilégios escalar privilégios até root e escapar de um contêiner.
A falha, catalogada como CVE-2026-23111 (Vulnerabilidades e Exposições Comuns), está no código de filtragem de pacotes nf_tables do kernel e foi corrigida no upstream em 5 de fevereiro de 2026. A Exodus Intelligence publicou sua análise técnica completa em 8 de junho, e nem é o primeiro exploit público: a FuzzingLabs publicou uma reprodução independente em abril.
A falha se resumia a um único caractere extraviado, uma verificação invertida no nf_tables, e a correção no upstream o removeu em uma única linha. A Ubuntu classifica a falha com CVSS (Sistema de Pontuação de Vulnerabilidade Comum) 7.8 (alta). Se o pacote de kernel da sua distribuição ainda não inclui a correção, atualize e reinicie.
Configuração explorável é comum
A configuração explorável é comum: nf_tables mais namespaces de usuário sem privilégios, um recurso do Linux que permite que uma conta comum atue como root dentro de um sandbox privado e acesse código do kernel que de outra forma não conseguiria.
Ambos vêm habilitados por padrão na maioria dos desktops e em muitas builds de servidores. Não há vetor remoto por si só. Trata-se de um bug que um atacante utiliza após obter um ponto de apoio, transformando um shell de baixo privilégio, um contêiner comprometido ou uma conta de serviço em root no host.
Cadeia de exploit
O pesquisador da Exodus, Oliver Sieber, que descobriu o bug no início de 2025, o encadeou em um root local completo. O exploit dispara o use-after-free, contorna as proteções de memória integradas do kernel e então assume o controle da execução para se conceder root e escapar do namespace do contêiner.
Ele demonstrou a falha em Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS (Suporte de Longo Prazo) e Ubuntu 24.04 LTS.
A FuzzingLabs reproduziu o bug no RHEL 10 (Red Hat Enterprise Linux) antes do Pwn2Own Berlin 2026, construindo seu próprio exploit de root por um caminho diferente. A linha do tempo é apertada: a correção foi enviada em 5 de fevereiro, a FuzzingLabs publicou em 16 de abril, e a análise detalhada da Exodus chegou em 8 de junho.
Quem está exposto
A técnica agora está documentada em Debian, Ubuntu e Red Hat. Como o bug está no mainline (linha principal de desenvolvimento do kernel), qualquer distribuição que tenha enviado um kernel vulnerável com ambos os recursos habilitados está exposta, a menos que o hardening (endurecimento de segurança) da distribuição ou restrições de namespace bloqueiem o caminho.
A CVE-2026-23111 surge em meio a uma sequência intensa de divulgações de root local no Linux. As últimas semanas trouxeram Copy Fail, a cadeia Dirty Frag, sua variante Fragnesia, DirtyDecrypt, e uma falha de ptrace de nove anos que lê /etc/shadow e executa comandos como root.
Elas diferem nos detalhes, mas compartilham a parte que deve preocupar os defensores: um ponto de apoio sem privilégios continua se transformando em root em instalações comuns.
Como mitigar
Atualize o kernel e reinicie. O bug é apenas local e precisa de namespaces de usuário sem privilégios, então priorize sistemas que permitem que usuários ou workloads não confiáveis os criem.
A Ubuntu tem correções para 22.04, 24.04 e 25.10, e a Debian corrigiu Bookworm e Trixie, com um backport 6.1 para o Bullseye LTS. Red Hat, SUSE e Amazon Linux também acompanham a falha; consulte o aviso da sua distribuição para o pacote de kernel correspondente, pois a versão exata corrigida varia. A correção no upstream foi uma única linha de código.
O cenário mais amplo
Há um panorama maior. Em uma análise recente do surto de LPE (Escalada Local de Privilégio), a Synacktiv associa o ritmo à pesquisa com auxílio de inteligência artificial e ao patch-diffing (comparação de correções) que colocam exploits funcionais no ar antes que as correções se espalhem, e defende que o endurecimento comum ainda compra tempo para os defensores.
A maioria desses bugs depende de recursos opcionais do kernel ou padrões permissivos, então bloquear o que usuários sem privilégios podem acessar — os namespaces de usuário, neste caso — segura o exploit até que a correção seja aplicada.
Não há relatos públicos de exploração em ambiente real, e nenhum agente de ameaça foi associado a ela. A correção está disponível desde fevereiro, e o código do exploit é público desde abril.
