Исследователи безопасности из Exodus Intelligence опубликовали подробности об уязвимости в ядре Linux, которая была исправлена ещё в феврале. Злоумышленники могут использовать её для получения root-прав на уязвимых системах. Как сообщает Ars Technica(откроется в новом окне) со ссылкой на подробную статью в блоге(откроется в новом окне) исследователей, причиной уязвимости стал всего один ошибочно поставленный восклицательный знак.

Данная уязвимость зарегистрирована как CVE-2026-23111(откроется в новом окне) и имеет высокий уровень опасности с оценкой CVSS 7,8. Злоумышленники с обычными правами пользователя могут использовать её для расширения своих привилегий и выполнения кода с правами root на уязвимых системах Linux.

По имеющимся данным, причина уязвимости кроется в подсистеме ядра Nftables(откроется в новом окне), которая в основном используется для фильтрации сетевых пакетов. Исследователи обнаружили в соответствующем файле nf_tables_api.c ошибочную строку кода, где перед условием был установлен восклицательный знак, которого там быть не должно. Это привело к ошибочному инвертированию условия, что повлекло за собой ошибку типа use-after-free (использование после освобождения).

Успешность эксплуатации зависит от загрузки системы

В ходе собственных тестов с эксплойтом, разработанным для CVE-2026-23111, исследователи безопасности признали уязвимыми как минимум Debian Bookworm, Debian Trixie, а также Ubuntu 22.04 LTS и 24.04 LTS. Об уязвимости других дистрибутивов Linux исследователи не сообщили. Кроме того, эксплуатация уязвимости в Ubuntu и Debian должна незначительно различаться.

Те, кто интересуется дополнительными техническими подробностями о CVE-2026-23111, могут найти их в статье блога Exodus Intelligence(откроется в новом окне). Согласно ей, успешность эксплойта зависит от загруженности heap-памяти ядра Linux. На системе в режиме простоя исследователи достигли 99-процентного уровня успеха, при высокой загрузке — только около 80 процентов.

По имеющимся данным, уязвимость была обнаружена ещё в начале 2025 года. Однако патч стал доступен только с февраля 2026 года(откроется в новом окне). Исследователи не приводят объяснения тому, почему предоставление исправления заняло около года. Исследователи безопасности из Fuzzing Labs также опубликовали подробный анализ CVE-2026-23111(откроется в новом окне).