El investigador Asim Manizada divulgó el 28 de mayo de 2026 una vulnerabilidad de escalada de privilegios que llevaba escondida en el kernel Linux desde 2007. Se llama CIFSwitch, tiene el identificador CVE-2026-46243 (asignado el 1 de junio) y permite que cualquier usuario local sin privilegios consiga una shell de root. Diecinueve años con el agujero abierto y nadie lo había visto.
Qué es
El fallo está en fs/smb/client/cifs_spnego.c, el código del módulo CIFS que gestiona la autenticación Kerberos/SPNEGO del cliente. Cuando el kernel necesita un ticket Kerberos para montar un recurso CIFS, genera una clave de tipo cifs.spnego y lanza un upcall al helper cifs.upcall, que se ejecuta con privilegios. El problema es que parte de la descripción de esa clave (pid, uid, creduid y el destino del upcall) puede forjarse desde espacio de usuario.
El ataque se monta así: un usuario llama a request_key(2) con una descripción cifs.spnego manipulada, eligiendo a su antojo los valores de pid, uid, creduid y upcall_target. El kernel invoca entonces cifs.upcall con esos valores falsos. Combinando esto con un espacio de nombres de usuario controlado, el helper acaba ejecutando getpwuid() y carga una biblioteca NSS maliciosa, ya como root. A partir de ahí, ejecución de código arbitrario con privilegios totales.
A quién afecta
Para que el exploit funcione tienen que darse tres condiciones a la vez en la máquina:
- cifs-utils instalado, versiones 6.14 o posteriores.
- Espacios de nombres de usuario sin privilegios habilitados (
kernel.unprivileged_userns_clone=1). - Módulo CIFS del kernel cargado.
Donde se cumplen las tres, un solo comando basta para pasar de usuario normal a root. La lista de distribuciones afectadas incluye Red Hat, Ubuntu, Debian, SUSE, Oracle Linux y Amazon Linux, siempre según la configuración concreta de cada sistema. El propio investigador publicó una prueba de concepto en GitHub el mismo día de la divulgación, así que el código ya está en circulación.
Gravedad
Estamos ante una escalada local de privilegios a root, sin interacción del usuario ni autenticación previa más allá de tener una cuenta en el sistema. En servidores multiusuario, hosts compartidos o cualquier máquina donde un atacante ya tenga un punto de apoyo con permisos bajos, el salto a root es directo. Que el bug tenga 19 años significa que la superficie de exposición histórica es enorme: cualquier sistema con esa combinación de paquetes ha sido vulnerable durante casi dos décadas.
Mitigación
Los kernels parcheados llegaron a los repositorios de producción el 2 de junio de 2026. Lo prioritario es aplicar las actualizaciones del kernel desde el gestor de paquetes de tu distribución y reiniciar. Si necesitas evitar el reinicio, KernelCare o TuxCare ofrecen parches en caliente.
Mientras no puedas parchear, cualquiera de estas medidas corta el vector:
- Desactivar los espacios de nombres de usuario sin privilegios.
- Descargar el módulo CIFS si no lo usas.
- Eliminar cifs-utils.
Para detección, conviene vigilar las llamadas a request_key() con descripciones cifs.spnego sospechosas. Si gestionas equipos Debian o Ubuntu y te interesan otros casos recientes de escalada a root en el kernel, échale un vistazo a CrackArmor: AppArmor y la escalada a root en el kernel Linux.