Cve-2026-31635

Vulnerabilidade DirtyDecrypt no Kernel Linux permite escalonamento de privilégios

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Vulnerabilidade no Linux permite escalonamento de privilégios locais

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.