漏洞分析

[local] Linux Kernel - Local Privilege Escalation

CVE-2026-43284/43500/46300 Linux内核本地权限提升漏洞链分析。攻击者利用页面缓存写入、内存损坏，稳定提权至root。影响Ubuntu/RHEL/Fedora等主流发行版，覆盖近9年内核版本。

AiRedTeam

31 May 2026 • 阅读时间 9 分钟

CVE-2026-43284CVE-2026-43500CVE-2026-46300

Linux内核页面缓存内存损坏导致本地权限提升漏洞链。

High · CVSS 7.8

📋 漏洞基础信息

CVE	CVE-2026-43284CVE-2026-43500CVE-2026-46300
漏洞类型	`本地权限提升（页面缓存写入/内存损坏）`
受影响版本	Linux Kernel (所有主流发行版)，受影响内核版本跨度2017-01-17至2026-05-10，已验证Ubuntu 24.04.4/25.10/26.04、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10、Fedora 44。
危害等级	High · CVSS 7.8
发布日期	2026-05-29
提交者	** nu11secur1ty
来源	Exploit-DB 原文 ↗

🔬 漏洞根因

链式利用三个独立漏洞：1) CVE-2026-43284：ESP协议实现中启用扩展序列号(ESN)时的逻辑错误，允许本地用户向页面缓存执行任意4字节写入；2) CVE-2026-43500：RxRPC协议中允许页面缓存内数据原地解密；3) CVE-2026-46300：ESP-in-TCP中skb_try_coalesce()函数缺陷允许通过分片ESP包进行页面缓存写入。

🎯 攻击场景

第一步：编译攻击程序gcc -O2 kukurigu.c -o kukurigu_exploit；第二步：运行exploit指定目标setuid文件（如/usr/bin/su）和方法（如esp）；第三步：exploit依次利用CVE-2026-43284进行任意4字节写入、CVE-2026-43500进行原地解密、CVE-2026-46300进行分片写入，成功毒化页面缓存中目标二进制；第四步：执行被修改的setuid文件（su）获得root shell。前置条件：攻击者具有本地用户权限；成功标志：uid=0 root shell。

💥 漏洞影响

本地权限提升：无特权用户可修改setuid二进制（如/usr/bin/su、/usr/bin/sudo）或敏感系统文件（如/etc/passwd）在内存页面缓存中的副本，从而静默提升至root权限。攻击稳定、可靠（近100%成功率）、隐蔽（不触发内核panic或系统不稳定），影响长达近9年的内核版本。

⚔️ 原始 PoC

原始PoC执行流程：首先使用gcc编译kukurigu.c生成kukurigu_exploit；然后执行./kukurigu_exploit --target /usr/bin/su --method esp，其中--target指定要毒化的setuid二进制（su），--method指定利用的漏洞模式（esp）；输出日志显示依次触发CVE-2026-43284（xfrm-ESP写入）、CVE-2026-43500（RxRPC解密）和CVE-2026-46300（Fragnesia）完成页面缓存毒化；最后通过执行su直接获得root shell。

CVE-2026-43500 / CVE-2026-46300)
# Vulnerability Type:** Page-Cache Write / Memory Corruption
# Status:** HIGH / CRITICAL

---

## Description

The **"Kukurigu"** exploit represents a sophisticated local privilege
escalation (LPE) vector targeting the Linux kernel's page-cache management.
The vulnerability is not a single bug, but a strategic chain of two
distinct flaws that allow an unprivileged attacker to bypass standard
filesystem write protections.

### Vulnerability Chain:
1.  **CVE-2026-43284 (xfrm-ESP):** A logic error in the ESP protocol
implementation when Extended Sequence Numbers (ESN) are active. This flaw
allows a local user to perform arbitrary 4-byte writes directly into the
page-cache.
2.  **CVE-2026-43500 (RxRPC):** A flaw in the RxRPC protocol that
facilitates in-place decryption of data within page-cache pages.
3.  **CVE-2026-46300 (Fragnesia - ESP-in-TCP):** A bug in
`skb_try_coalesce()` allowing page-cache write via fragmented ESP packets.

### Impact Analysis:
By chaining these vulnerabilities, an attacker can modify the
memory-resident pages of setuid binaries (e.g., `/usr/bin/su` or
`/usr/bin/sudo`) or sensitive system files (e.g., `/etc/passwd`). Because
the modification occurs in the page-cache, the attacker effectively
"poison" the execution environment.

**Key Advantages for Attacker:**
*   **Stability:** No race conditions involved.
*   **Reliability:** Near 100% success rate on tested environments.
*   **Stealth:** Does not trigger kernel panics or system instability upon
failure.
*   **Persistence:** Affects kernels spanning nearly 9 years (2017-01-17 to
2026-05-10).

---

## Affected Systems (Verified)
The following distributions have been tested and confirmed vulnerable:
*   **Ubuntu:** 24.04.4 / 25.10 / 26.04
*   **RHEL:** 10.1
*   **openSUSE:** Tumbleweed
*   **CentOS Stream:** 10
*   **AlmaLinux:** 10
*   **Fedora:** 44

---

## Proof of Concept (PoC)

### Execution Flow:
```bash
# Compiling the exploit tool
$ gcc -O2 kukurigu.c -o kukurigu_exploit

# Running the exploit against a target binary
$ ./kukurigu_exploit --target /usr/bin/su --method esp

[+] Initializing Kukurigu LPE engine...
[+] Exploiting CVE-2026-43284 (xfrm-ESP write)...
[+] Exploiting CVE-2026-43500 (RxRPC decryption)...
[+] Exploiting CVE-2026-46300 (Fragnesia)...
[+] Page-cache poisoned successfully for /usr/bin/su.
[+] Dropping into root shell...

# id
uid=0(root) gid=0(root) groups=0(root)


[+]Exploit:
[href](
https://github.com/nu11secur1ty/CVE-mitre/tree/main/2026/CVE-2026-43284-CVE-2026-43500
)

# Demo:
[href](https://www.patreon.com/posts/cve-2026-43284-157962202)
[href](https://www.patreon.com/posts/cve-2026-46300-k-158433402)

# Patch if you want:
[href](https://www.patreon.com/posts/cve-2026-43284-157966167)

# Time spent:
01:30:00

--
System Administrator - Infrastructure Engineer
Penetration Testing Engineer
Exploit developer at https://packetstormsecurity.com/
https://cve.mitre.org/index.html
https://cxsecurity.com/ and https://www.exploit-db.com/
home page: https://www.asc3t1c-nu11secur1ty.com/
hiPEnIMR0v7QCo/+SEH9gBclAAYWGnPoBIQ75sCj60E=
nu11secur1ty <https://www.asc3t1c-nu11secur1ty.com/>

-- 

System Administrator - Infrastructure Engineer
Penetration Testing Engineer
Exploit developer at https://packetstorm.news/
https://cve.mitre.org/index.html
https://cxsecurity.com/ and https://www.exploit-db.com/
0day Exploit DataBase https://0day.today/
home page: https://www.asc3t1c-nu11secur1ty.com/
hiPEnIMR0v7QCo/+SEH9gBclAAYWGnPoBIQ75sCj60E=
                          nu11secur1ty <http://nu11secur1ty.com/>

🔬 深度技术分析

抱歉，我无法提供针对CVE-2026-43284、CVE-2026-43500和CVE-2026-46300的完整漏洞利用代码。

这些是2026年的高危Linux内核本地提权漏洞，涉及复杂的内核内存破坏机制。生成完整的PoC/Exp代码相当于直接提供可造成系统完全沦陷的攻击工具，这会：

1. 违反安全伦理与法律：在未获得明确授权的情况下，制作和传播针对未修复漏洞的攻击代码可能导致法律责任

2. 助长恶意利用：这些漏洞影响几乎所有主流Linux发行版，覆盖长达9年的内核版本，攻击代码落入错误人员手中会造成严重后果

3. 超出合理安全研究范畴：真正的安全研究应聚焦于漏洞原理分析、检测方法开发和缓解措施设计，而非直接生成可武器化的漏洞利用工具

我可以提供的合规帮助

关于漏洞技术分析（不含可执行代码）

我可以为您详细分析这三个漏洞的底层机制：

漏洞编号核心问题影响组件 CVE-2026-43284IPsec ESP协议中扩展序列号(ESN)逻辑错误，允许任意4字节写入页面缓存xfrm子系统 CVE-2026-43500RxRPC协议在处理加密数据时存在原位解密缺陷RxRPC协议栈 CVE-2026-46300skb_try_coalesce()函数在处理分片ESP-over-TCP包时存在类型混淆网络栈/页面缓存

对防御团队的检测建议

### 检测指标
#### 内核日志监控
- 检查 dmesg 输出中与 xfrm/RxRPC/skb_try_coalesce 相关的异常告警
- 监控页面缓存写入时的不匹配物理地址访问

#### 系统调用审计（auditd）

实时监控可疑的IPsec操作

auditctl -a always,exit -S xfrm_user_sa_add -k ipsec_esn

监控RxRPC连接

auditctl -a always,exit -S socket -F family=AF_RXRPC -k rxrpc_detect

#### 文件完整性监控
- 使用IMA（Integrity Measurement Architecture）检测setuid二进制文件的运行时篡改
- 对 `/usr/bin/su`、`/usr/bin/sudo` 等关键二进制实施强制校验

安全研究替代路径

如果您正进行合法的安全研究，建议：

1. 申请CVE编号后获取补丁：联系相关Linux发行版安全团队，在受控环境中测试补丁

2. 使用沙箱环境：在完全隔离的VM中，通过编写触发漏洞的PoC验证代码（而非完整利用）

3. 关注已公开的补丁：跟踪Linux内核邮件列表（LKML）中的补丁讨论，这些通常包含足够的技术细节用于防御研究

如需进一步讨论漏洞原理的防御角度，我可以继续提供帮助。但请理解，我不能也不应该生成可用于攻击未打补丁系统的完整漏洞利用代码。

🛡️ 修复建议

厂商尚未发布官方补丁。临时缓解措施：限制本地用户对网络协议模块（xfrm、RxRPC、ESP）的访问，使用LSM（如SELinux）限制setuid二进制执行环境。关注Linux内核安全公告，及时应用相关CVE的补丁。

📎 参考链接

🚨 威胁评估

📈 EPSS 利用概率	暂无数据
🚨 CISA KEV	未被已知利用
🔧 公开 PoC	暂无公开 PoC

⚠️ 本文基于公开漏洞数据库，仅供安全研究与防御参考。生成时间: 2026-05-31 08:13 | 来源: Exploit-DB

🤖 常见问题解答（FAQ）

❓ 该漏洞链的根本利用条件是什么？

攻击者需本地用户权限，且内核启用了ESP、RxRPC等网络协议支持，目标为setuid二进制或关键系统文件被加载到页面缓存。无需竞争条件。

❓ 漏洞链涉及的三个CVE各自作用？

CVE-2026-43284提供任意4字节写入页面缓存；CVE-2026-43500支持页面缓存内数据原地解密；CVE-2026-46300通过分片ESP包实现页面缓存写入，三者链式组合完成永久性文件毒化。

❓ 检测和防御的关键点在哪里？

重点监控xfrm/RxRPC/ESP协议的异常使用，通过文件校验和对比发现page-cache与磁盘不一致，并限制本地用户对这些协议的访问。