AuxiNux Logo

Faille de sécurité Fragnesia - CVE-2026-4630

Actualité · Publié le 14 mai 2026

Moins d'une semaine après la divulgation de Dirty Frag, une nouvelle vulnérabilité d'élévation de privilèges locaux (LPE) sur Linux a été annoncée. Baptisée Fragnesia et référencée sous l'identifiant CVE-2026-46300, elle constitue le troisième bug de cette classe identifié dans le sous-système XFRM / ESP du noyau. Un proof-of-concept fonctionnel est d'ores et déjà public.

Impact et fonctionnement

Fragnesia permet à n'importe quel utilisateur local non privilégié d'obtenir les droits root en une seule commande. Bien qu'elle appartienne à la même famille que Dirty Frag (CVE-2026-43284 et CVE-2026-43500) et CopyFail, il s'agit d'un bug distinct et non d'une simple redécouverte. Si un attaquant parvient à obtenir un accès initial limité sur un serveur, cette faille lui offre immédiatement le contrôle total du système.

Distributions touchées

Toutes les distributions Linux majeures livrées actuellement sont concernées par cette faille du noyau. Cela inclut notamment Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, Rocky Linux, Fedora, Debian, openSUSE et CloudLinux.

Niveau de risque et urgence de mitigation

Le risque est critique, particulièrement pour les environnements multi-utilisateurs, les serveurs d'hébergement mutualisé et les infrastructures cloud. L'urgence de mitigation est maximale, car l'exploitation est triviale. À ce jour, les correctifs définitifs intégrés aux noyaux stables ne sont pas encore généralisés. Les solutions de patchage à chaud comme KernelCare ont commencé à déployer des correctifs sans redémarrage, mais pour les autres systèmes, la mitigation immédiate nécessite des actions manuelles.

Note importante : Les clients CloudLinux ayant déjà appliqué la mitigation pour Dirty Frag n'ont aucune action supplémentaire à réaliser pour se protéger de Fragnesia, la parade immédiate étant identique.

Pour les administrateurs systèmes ne disposant pas de patchs live, des mesures de contournement (impliquant souvent la désactivation de certains services réseau ou VPN) sont requises. Afin de faciliter ces interventions, AuxiNux propose un script de mitigation automatisé pour allez au script cliquez ici qui vous enverrez a tout les scripts -> : dirtyfrag.

Sources : CloudLinux, TuxCare, Gotekky, ZDNet, ICTjournal