Uma vulnerabilidade no kernel do Linux que passou despercebida por nove anos permite que um usuário local não privilegiado acesse arquivos sensíveis e execute comandos como root em instalações padrão de distribuições populares; a falha, identificada como CVE-2026-46333 e apelidada de ssh-keysign-pwn, está ligada à função __ptrace_may_access() introduzida em 2016, teve um PoC divulgado recentemente e já motivou atualizações de kernel e recomendações de mitigação temporária como elevar kernel.yama.ptrace_scope para 2.
Pesquisadores de segurança revelaram uma falha no kernel do Linux que ficou sem detecção por nove anos.
Rastreada como CVE-2026-46333, com pontuação CVSS 5.5 e apelidada de ssh-keysign-pwn, a vulnerabilidade é um caso de gerenciamento impróprio de privilégios.
Em instalações padrão de distribuições populares como Debian, Fedora e Ubuntu, ela pode permitir que um usuário local não privilegiado divulgue arquivos sensíveis e execute comandos arbitrários como root.
A falha está relacionada à função __ptrace_may_access() do kernel e foi introduzida em novembro de 2016, segundo os pesquisadores que a encontraram.
Um gerente sênior da equipe de pesquisa resumiu: “The primitive is reliable and turns any local shell into a path to root or to sensitive credential material.”
Um PoC para a falha foi liberado na semana passada, pouco depois que um commit público no kernel veio à tona.
Com exploração bem-sucedida, um invasor local pode obter o conteúdo de /etc/shadow e as chaves privadas do host em /etc/ssh/*_key.
Também é possível executar comandos como root por meio de quatro exploits distintos que exploram chage, ssh-keysign, pkexec e accounts-daemon.
As distribuições já disponibilizaram atualizações de kernel e, quando não for possível aplicá-las imediatamente, uma mitigação temporária é elevar kernel.yama.ptrace_scope para 2.
Os pesquisadores também alertaram que máquinas que permitiram usuários locais não confiáveis durante o período de exposição devem considerar chaves SSH do host e credenciais em cache como potencialmente divulgadas, girando as chaves e revisando material administrativo que tenha ficado na memória de processos set-uid.
CVE-2026-46333 é a mais recente vulnerabilidade do kernel divulgada após casos recentes como Copy Fail, Dirty Frag e Fragnesia.
