Beveiligingsonderzoekers hebben een gedetailleerde, werkende exploit gepubliceerd voor een Linux-kernel use-after-free waarmee een lokale gebruiker zonder privileges kan escaleren naar root en uit een container kan ontsnappen.
De fout, CVE-2026-23111, zit in de pakketfiltercode nf_tables van de kernel en werd op 5 februari 2026 upstream gepatcht. Exodus Intelligence heeft zijn volledige technische walkthrough op 8 juni vrijgegeven, en het is niet eens de eerste publieke exploit: FuzzingLabs publiceerde in april een onafhankelijke reproductie.
De fout kwam neer op een enkel verdwaald teken, een omgekeerde controle in nf_tables, en de upstream-fix verwijderde dit in één regel. Ubuntu beoordeelt de fout CVSS 7.8 (hoog). Als het kernelpakket van uw distributie de oplossing nog niet bevat, update dan en start opnieuw op.
De bereikbare configuratie is gebruikelijk: nf_tables plus niet-bevoorrechte gebruikersnaamruimten, een Linux-functie waarmee een gewoon account als root in een privé-sandbox kan fungeren en kernelcode kan bereiken die anders niet mogelijk zou zijn.
Beide worden standaard geleverd op de meeste desktops en veel serverbuilds. Er is op zichzelf geen externe vector. Dit is een bug waar een aanvaller naar op zoek is nadat hij voet aan de grond heeft gekregen door een shell met weinig bevoegdheden, een gecompromitteerde container of een serviceaccount in root op de host te veranderen.
Exodus-onderzoeker Oliver Sieber, die de bug begin 2025 ontdekte, ketende hem in een volledige lokale root. De exploit zet de use-after-free in gang, omzeilt de ingebouwde geheugenbescherming van de kernel en grijpt vervolgens de controle over de uitvoering over om zichzelf root te geven en uit de naamruimte van de container te ontsnappen.
Hij demonstreerde het op Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS en Ubuntu 24.04 LTS.
FuzzingLabs reproduceerde de bug op RHEL 10 voorafgaand aan Pwn2Own Berlin 2026, en bouwde zijn eigen root-exploit via een andere route. De tijdlijn is krap: de oplossing is op 5 februari verzonden, FuzzingLabs is op 16 april gepubliceerd en het gedetailleerde artikel van Exodus is op 8 juni geland.
De techniek is nu gedocumenteerd in Debian, Ubuntu en Red Hat. Omdat de bug zich in de hoofdlijn bevindt, wordt elke distributie die een kwetsbare kernel heeft geleverd met beide functies ingeschakeld, blootgesteld, tenzij de verhardings- of naamruimtebeperkingen van een distributie het pad blokkeren.
CVE-2026-23111 belandt midden in een grote reeks Linux-onthullingen over de lokale root. De afgelopen weken hebben Copy Fail, de Dirty Frag-keten, de Fragnesia-variant, DirtyDecrypt en een negen jaar oude ptrace-fout gebracht die /etc/shadow leest en opdrachten als root uitvoert.
Ze verschillen in de details, maar delen het deel dat verdedigers zorgen zou moeten baren: een onbevoorrechte positie blijft root worden bij gewone installaties.
Update de kernel en start opnieuw op. De bug is alleen lokaal en heeft gebruikersnaamruimten zonder rechten nodig. Concentreer u dus eerst op systemen waarop niet-vertrouwde gebruikers of workloads deze kunnen maken.
Ubuntu heeft oplossingen voor 22.04, 24.04 en 25.10, en Debian heeft Bookworm en Trixie gerepareerd, met een 6.1-backport voor Bullseye LTS. Red Hat, SUSE en Amazon Linux volgen de fout ook; controleer het advies van uw distributie voor het kernelpakket dat overeenkomt met het uwe, aangezien de exacte vaste versie varieert. De oplossing stroomopwaarts was een enkele regel code.
Er is een groter plaatje. In een recent overzicht van de LPE-golf koppelt Synacktiv het tempo aan AI-ondersteund onderzoek en patch-diffing, waardoor werkende exploits naar buiten worden gebracht voordat oplossingen zich verspreiden, en stelt dat gewone verharding nog steeds tijd voor verdedigers oplevert.
De meeste van deze bugs berusten op optionele kernelfuncties of losse standaardinstellingen, waardoor het afsnijden van wat niet-bevoorrechte gebruikers kunnen bereiken (gebruikersnaamruimten in dit geval) de exploit tegenhoudt totdat de patch is geïnstalleerd.
Er zijn geen openbare berichten over uitbuiting in het wild, en er is geen enkele bedreigingsactoren aan gekoppeld. De patch is sinds februari uit en de exploitcode is sinds april openbaar.
