A falha CVE-2026-46331, batizada de Pedit COW, permite que qualquer usuário local sem privilégios obtenha acesso root no kernel Linux através do componente net/sched act_pedit de controle de tráfego. Um exploit chamado packet_edit_meme, divulgado em junho de 2026, foi verificado contra kernels corporativos e de consumo ativos e afeta RHEL 10, Debian 13 e Ubuntu 24.04 com namespaces de usuário habilitados.
Como o exploit funciona
A causa raiz é um bug de corrupção parcial de page cache Copy-on-Write (COW), introduzido no commit do kernel 899ee91156e5, presente entre as versões v5.18 e v7.1-rc6 e corrigido em v7.1-rc7. A falha reside no subsistema net/sched act_pedit, componente de edição de tráfego do framework de controle de tráfego (tc) do Linux.
A cadeia de ataque começa criando um processo filho em user namespace com a capability CAP_NET_ADMIN — uma permissão alcançável por usuários não privilegiados em sistemas onde namespaces não privilegiados vêm habilitados por padrão. O exploit então usa a primitiva de corrupção COW para sobrescrever o ponto de entrada ELF em page cache do binário setuid-root /bin/su, injetando shellcode que executa setgid(0) + setuid(0) + execve("/bin/sh") — entregando um shell root ao atacante.
Distribuições afetadas
Testes confirmam sucesso de exploração em múltiplas distribuições amplamente implantadas. RHEL e Debian são imediatamente vulneráveis sem qualquer flag adicional, pois ambas entregam namespaces de usuário não privilegiados abertos por padrão. RHEL até carece dos módulos cls_basic e em_meta, mas o exploit recorre automaticamente a matchall para entregar a mesma primitiva de corrupção.
| Distribuição | Kernel | Resultado |
|---|---|---|
| RHEL 10.0 | 6.12.0-228.el10 | ROOT sem flags |
| Debian 13 (Trixie) | 6.12.90+deb13.1 | ROOT sem flags |
| Ubuntu 24.04.4 | 6.17.0-22 | ROOT com flag –ubuntu |
| Ubuntu 26.04 | 7.0.0-14-generic | BLOQUEADO |
O Ubuntu aplica dois sysctls AppArmor que restringem a criação de namespace não privilegiado. O atacante contorna com a flag --ubuntu, que reexecuta o exploit via aa-exec usando perfis permissivos como trinity, chrome ou flatpak. Esse bypass funciona no Ubuntu 24.04.4, mas está fechado no Ubuntu 26.04, que aperta a restrição para bloquear esse caminho de reexecução. Outras falhas recentes do kernel exploram namespaces de usuário de forma parecida — como a falha de um caractere no Linux Kernel que concede acesso root.
Caminhos de mitigação
A Red Hat publicou o boletim oficial RHSB-2026-008. O TuxCare detalha que a mitigação primária é aplicar os patches de kernel imediatamente e restringir a criação de namespace de usuário não privilegiado via sysctl sempre que operacionalmente viável. Organizações com kernels entre v5.18 e v7.1-rc6 devem tratar isso como correção de prioridade crítica.
O que fazer agora
- Atualize o kernel para v7.1-rc7 ou superior, ou aplique o backport da sua distribuição assim que disponível.
- Restrinja namespaces não privilegiados: desabilite a criação de user namespace por usuários comuns em servidores e estações expostas a múltiplos usuários.
- Monitore atividades suspeitas: fique atento a invocações inesperadas de
aa-exece a eventos de criação de namespace incomuns nos logs. - Endureça perfis AppArmor: no Ubuntu, defina
kernel.apparmor_restrict_unprivileged_userns=1e revise perfis permissivos (trinity, chrome, flatpak) que possam servir de bypass. - Planeje migração: se você ainda roda kernels v5.18 a v7.1-rc6 em produção, priorize o ciclo de patch — não há workaround que substitua a correção upstream.