¿Quieres regalarle un servidor a un hacker? Basta con poner un signo de exclamación de más en el código.
Nadie esperaba que una errata tan sencilla escondiera una trampa.
A veces una brecha grave en el kernel no la provoca un error de arquitectura complejo, sino un carácter de más en el código. En Linux analizaron la vulnerabilidad CVE-2026-23111 (7.8 según la escala CVSS 3.1, AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) que permitía a un usuario normal o a un proceso no confiable obtener privilegios de root a través del subsistema nf_tables.
El problema se detectó en el mecanismo de filtrado de paquetes de red, que gestiona las reglas del cortafuegos y sustituye subsistemas antiguos como iptables. Un signo de exclamación colocado por error provocó un uso de memoria después de su liberación, es decir, una situación en la que el programa sigue trabajando con una zona de memoria tras haberla liberado.
El ataque afectó a la eliminación del mapa de veredictos, donde nf_tables decide qué acción aplicar a un paquete de red. Debido al error, el atacante podía reducir repetidamente el contador de referencias y luego liberar la cadena de reglas, aunque otros objetos todavía la apuntaban. Ese fallo abría el camino para la toma de control dentro del kernel.
Los especialistas de Exodus Intelligence demostraron que la explotación funcionaba en Debian y Ubuntu. Su código de demostración provocaba el error varias veces, revelaba direcciones en la memoria del kernel y permitía elevar privilegios a root. En pruebas en un sistema inactivo, la estabilidad superó el 99%.
La vulnerabilidad fue corregida en el kernel de Linux ya en febrero, y luego la actualización se propagó a las principales distribuciones. En abril FuzzingLabs mostró un exploit de demostración, y más tarde Exodus Intelligence publicó su propia variante. Para reducir el riesgo, los administradores deben instalar las actualizaciones del kernel disponibles y comprobar las versiones de los paquetes en las distribuciones que utilizan.