<p>O <strong>CVE-2026-46331</strong>, apelidado de <strong>"pedit COW"</strong>, é uma vulnerabilidade crítica de escalonamento local de privilégios (LPE) no subsistema de controle de tráfego do kernel Linux (<code>net/sched</code>, função <code>tcf_pedit_act()</code>), presente nas versões v5.18 a v7.1-rc6.</p><h2>Causa raiz</h2><p>A função <code>tcf_pedit_act()</code> calcula o intervalo de cópia-na-escrita (COW) uma única vez antes de editar cabeçalhos de pacotes, ignorando deslocamentos em tempo de execução adicionados pelas chaves de tipo. Isso permite escrita fora da região de memória privada, corrompendo diretamente a <strong>cache de páginas compartilhada</strong>.</p><h2>Cadeia de exploração (PoC público)</h2><ol><li>Criação de namespace de usuário filho com <code>CAP_NET_ADMIN</code> (disponível para usuários não privilegiados em sistemas com user namespaces habilitados)</li><li>Corrupção do ponto de entrada ELF no cache de página do binário setuid-root <code>/bin/su</code></li><li>Injeção de shellcode: <code>setgid(0) + setuid(0) + execve("/bin/sh")</code></li><li>Shell root entregue ao atacante</li></ol><h2>Sistemas afetados</h2><ul><li>RHEL 8, 9 e 10 (Red Hat Security Bulletin RHSB-2026-008)</li><li>AlmaLinux 8</li><li>Debian 13 (Trixie)</li><li>Qualquer distribuição com kernel v5.18–v7.1-rc6 e user namespaces não privilegiados habilitados</li></ul><h2>Mitigação</h2><p><strong>Correção definitiva:</strong> atualizar para kernel v7.1-rc7 ou superior e reiniciar. <strong>Mitigação temporária:</strong> bloquear o módulo <code>act_pedit</code> para impedir carregamento automático. O CVE foi atribuído em 16 de junho de 2026; PoC público publicado em 17 de junho.</p>
Fonte e transparência
Fonte original: IPSecure Hub
Data de publicação original: 17/06/2026
O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.



