Wegen des fehlenden COW-Guards akzeptiert die betroffene Komponente überdimensionierte Antwort-Authenticatoren. Nach Angaben von Moselwal führt das dazu, dass Daten in den Speicher privilegierter Prozesse oder in den Page-Cache privilegierter Dateien geschrieben werden – etwa in SUID-Binaries.

Die Einschränkung auf Distributionen mit aktiviertem CONFIG_RXGK begrenzt den Kreis verwundbarer Systeme, schließt mit Arch Linux, Fedora und openSUSE aber verbreitete Distributionen ein. Auf Container-Plattformen könnten laut Moselwal alle Worker-Nodes, die eine verwundbare Distribution einsetzen, Angreifern einen Weg bieten, aus dem Pod auszubrechen.

V12 ordnet DirtyDecrypt als Variante mehrerer kürzlich identifizierter Linux-Kernel-Fehler ein: CopyFail, DirtyFrag und Fragnesia. Alle drei verschaffen Angreifern auf verwundbaren Systemen Root-Zugriff.

Fragnesia wurde kürzlich offengelegt und wird offiziell als CVE-2026-46300 geführt. Die Lücke betrifft das XFRM-Subsystem ESP-in-TCP und erlaubt es Angreifern, sensible Systemdateien zu überschreiben und Root-Rechte zu erlangen.

Der ebenfalls in diesem Monat veröffentlichte DirtyFrag-Exploit verkettet zwei Schwachstellen im Linux-Kernel, von denen eine die RxRPC-Komponente betrifft, um an Root-Rechte zu gelangen.

CopyFail wiederum, offengelegt Ende April, ermöglicht es, die im Speicher gehaltenen Kopien von setuid-root-Binaries zu verändern und so Zugriff auf eine Root-Shell zu erhalten. Bedrohungsakteure begannen schon kurz nach der Offenlegung, die Lücke auszunutzen.