El 8 de mayo de 2026 el Centro Canadiense de Ciberseguridad publicó la alerta AL26-011 sobre dos vulnerabilidades del kernel Linux que, juntas, dejan a un usuario local sin privilegios convertirse en root. El conjunto se conoce como Dirty Frag y combina CVE-2026-43284 con CVE-2026-43500.
Qué son los dos fallos
CVE-2026-43284 es una condición write-what-where (CWE-123) en los módulos de la carga de seguridad encapsulada, esp4 y esp6. Una primitiva write-what-where significa que el atacante controla tanto dónde escribe en memoria del kernel como qué escribe, lo que abre la puerta a corromper estructuras internas y, a partir de ahí, ejecutar código arbitrario en contexto del kernel.
CVE-2026-43500 vive en el subsistema RxRPC, el protocolo que el kernel usa para llamadas a procedimiento remoto sobre UDP (lo emplea AFS, entre otros). Por sí solo permite a un atacante local escalar privilegios.
El nombre Dirty Frag apunta al manejo de fragmentos, donde nacen ambos problemas. La gracia del ataque no está en cada fallo por separado sino en encadenarlos: RxRPC da el pie para la escalada y la primitiva de escritura en ESP remata el trabajo hasta llegar a root.
A quién afecta
Cualquier sistema Linux con los módulos esp4, esp6 o rxrpc cargados. ESP forma parte de IPsec, así que máquinas que terminan túneles VPN o cualquier kernel que cargue esos módulos por defecto entran en el grupo de riesgo. RxRPC suele cargarse de forma automática cuando algún componente lo solicita, lo que amplía la superficie más allá de quien usa AFS a propósito.
El acceso requerido es local. Eso baja el listón en servidores multiusuario, nodos de Kubernetes, runners de CI/CD y cualquier entorno donde código no confiable pueda ejecutarse con una cuenta normal. En esos escenarios la barrera entre “usuario sin privilegios” y “control total de la máquina” es precisamente lo que Dirty Frag rompe.
Gravedad
El Centro Canadiense clasificó el conjunto como de alto riesgo y advirtió de algo poco habitual: ya existían pruebas de concepto funcionales y públicas en la fecha de la alerta. Tener PoC en circulación cambia el cálculo, porque acorta el tiempo entre la divulgación y la explotación real. A esto se suma que el 8 de mayo no había un parche que cubriera todas las ramas estables del kernel a la vez.
Mitigación
Mientras llegan los parches oficiales de tu distribución, el consejo del aviso pasa por reducir la superficie. Si no usas IPsec ni AFS, desactiva los módulos vulnerables con la configuración de modprobe, por ejemplo añadiendo líneas blacklist para esp4, esp6 y rxrpc. Conviene comprobar antes qué está cargado:
uname -r
lsmod | grep -E 'esp4|esp6|rxrpc'El resto de medidas son las de costumbre cuando el vector es local: limitar quién tiene cuenta en la máquina, restringir privilegios administrativos y vigilar los logs por actividad anómala. Consulta a tu distribución para la versión exacta que corrige cada CVE, porque el calendario de parches varió entre ramas. Si gestionas la línea principal del kernel Linux, revisa la versión instalada y aplica la actualización en cuanto esté disponible.
Este patrón de escalada local encadenando dos fallos del kernel no es nuevo. Lo vimos hace poco con Copy Fail (CVE-2026-31431) en algif_aead y con CrackArmor en AppArmor: el denominador común es que basta una cuenta sin privilegios para terminar como root.
Fuente
- Centro Canadiense de Ciberseguridad, alerta AL26-011: https://www.cyber.gc.ca/en/alerts-advisories/al26-011-vulnerabilities-affecting-linux-cve-2026-43284-cve-2026-43500
- NVD, CVE-2026-43284: https://nvd.nist.gov/vuln/detail/CVE-2026-43284