Опубликован разбор локальной root-уязвимости CVE-2026-23111 в Linux nf_tables

Исследователь Exodus Intelligence Оливер Зибер опубликовал технический разбор CVE-2026-23111 — use-after-free в подсистеме nf_tables ядра Linux, вызванной инвертированной проверкой в коде отката транзакций. Уязвимость уже исправлена upstream, но публичные детали эксплуатации повышают важность проверки обновлений ядра в дистрибутивах, особенно на системах с user namespaces и nftables.

Exodus Intelligence опубликовала технический разбор CVE-2026-23111 — уязвимости use-after-free в подсистеме nf_tables ядра Linux. Автор разбора, исследователь Оливер Зибер, пишет, что найденная в 2025 году ошибка была исправлена upstream 5 февраля 2026 года, а эксплуатацию удалось довести до локального повышения прав с непривилегированного пользователя до root на Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS и Ubuntu 24.04 LTS.

Проблема находится в обработке отката транзакций nftables. Как описывает Linux CVE team, функция nft_map_catchall_activate() из-за лишнего отрицания в условии не восстанавливала деактивированный catchall-элемент после неудачной операции DELSET. Для элементов с verdict NFT_GOTO это приводило к неверному уменьшению счётчика ссылок chain->use; цепочка могла быть освобождена, пока на неё ещё оставались ссылки.

Официальная запись Linux CVE перечисляет исправления для веток 5.15.200, 6.1.163, 6.6.124, 6.12.70, 6.18.10 и 6.19. В NVD уязвимость имеет оценку CVSS 3.1 7,8 (High); эксплуатация требует локального доступа и конфигурации с включёнными CONFIG_USER_NS и CONFIG_NF_TABLES.

Ранее FuzzingLabs опубликовала независимое воспроизведение CVE-2026-23111 на RHEL 10. Администраторам следует сверить версии с бюллетенями дистрибутива: Ubuntu помечает основной пакет linux как исправленный для 22.04 LTS, 24.04 LTS и 25.10, а Debian включил CVE-2026-23111 в DSA-6141-1. После обновления ядра требуется загрузка в исправленную версию.