Die als Fragnesia bezeichnete Schwachstelle wird offiziell unter CVE-2026-46300 geführt und liegt im XFRM-ESP-in-TCP-Subsystem des Linux-Kernels. Sie versetzt einen Angreifer ohne besondere Berechtigungen in die Lage, durch das Überschreiben sensibler Systemdateien an Root-Rechte zu gelangen.
Nach Darstellung des Threat-Intelligence-Teams von Microsoft funktioniert Fragnesia ähnlich wie Dirty Frag: Die Lücke im XFRM-ESP-in-TCP-Subsystem wird ausgenutzt, um im Kernel eine Schreibmöglichkeit im Speicher zu erlangen. Diese werde anschließend genutzt, um den Page-Cache-Speicher der Binärdatei /usr/bin/su zu manipulieren, was zum Start einer Shell mit Root-Rechten führe.
Microsoft weist allerdings darauf hin, dass die Ausnutzung nicht auf /usr/bin/su beschränkt sei. Der Angreifer könne jede für den Nutzer lesbare Datei verändern, einschließlich /etc/passwd. Das Unternehmen fordert Organisationen auf, die verfügbaren Patches schnellstmöglich anzuwenden.
Fragnesia gehört nach Einschätzung von Microsoft zur selben Klasse von Schwachstellen wie die kürzlich offengelegten Lücken Dirty Frag und Copy Fail. Während für Fragnesia bislang keine Ausnutzung in freier Wildbahn bekannt ist, liegen die Dinge bei den beiden verwandten Schwachstellen anders.
Copy Fail wurde den Angaben zufolge bereits in freier Wildbahn ausgenutzt. Kurz nach der Offenlegung von Dirty Frag erklärte Microsoft, auch diese Lücke könnte bei Angriffen eingesetzt worden sein. Das Unternehmen berichtete, sein Produkt Defender habe begrenzte Aktivität in freier Wildbahn beobachtet, die auf eine Ausnutzung von Dirty Frag oder Copy Fail hindeuten könnte. Weitere Berichte, die eine Ausnutzung von Dirty Frag bestätigen, liegen nach derzeitigem Stand nicht vor.