Den Kern der Schwachstelle bildet die Kernel-Funktion __ptrace_may_access(). Über sie kann ein lokaler Angreifer die Dateien /etc/shadow sowie die privaten Host-Schlüssel unter /etc/ssh/*_key auslesen. Darüber hinaus lassen sich beliebige Befehle mit Root-Rechten ausführen — über vier verschiedene Exploits, die auf chage, ssh-keysign, pkexec und accounts-daemon zielen.

Die Offenlegung folgt auf die Veröffentlichung eines Proof-of-Concept-Exploits, die kurz nach dem Auftauchen eines öffentlichen Kernel-Commits erfolgte. Nach Copy Fail, Dirty Frag und Fragnesia ist CVE-2026-46333 die jüngste in einer Reihe von Kernel-Schwachstellen, die innerhalb des laufenden Monats bekannt wurden.

Qualys rät, das aktuelle Kernel-Update der jeweiligen Linux-Distribution einzuspielen. Ist das nicht sofort möglich, lässt sich als vorübergehende Gegenmaßnahme der Parameter „kernel.yama.ptrace_scope" auf den Wert 2 anheben. Für Systeme, auf denen während des Gefährdungszeitraums nicht vertrauenswürdige lokale Nutzer zugelassen waren, empfiehlt Qualys, SSH-Host-Schlüssel und lokal zwischengespeicherte Anmeldedaten als möglicherweise offengelegt zu behandeln: Host-Schlüssel sollten ausgetauscht und alle administrativen Daten überprüft werden, die im Speicher von set-uid-Prozessen lagen.

Parallel dazu wurde ein Proof-of-Concept für eine weitere lokale Rechteausweitung namens PinTheft veröffentlicht, mit der lokale Angreifer auf Arch-Linux-Systemen Root-Rechte erlangen können. Der Exploit setzt voraus, dass das Modul Reliable Datagram Sockets (RDS) geladen und io_ring aktiviert ist, dass eine lesbare SUID-Root-Binärdatei vorliegt und dass das Zielsystem x86_64 unterstützt.

Nach Angaben von Zellic und dem V12-Sicherheitsteam handelt es sich bei PinTheft um einen Exploit, der einen Double-Free im RDS-Zerocopy-Versandpfad ausnutzt und sich über io_uring-Fixed-Buffer in ein Überschreiben des Page-Cache umwandeln lässt. Die Funktion rds_message_zcopy_from_user() pinnt Nutzer-Speicherseiten einzeln; tritt bei einer späteren Seite ein Fehler auf, gibt der Fehlerpfad die bereits gepinnten Seiten frei, woraufhin die spätere RDS-Bereinigung sie erneut freigibt — denn die Scatterlist-Einträge und der Zähler bleiben aktiv, nachdem der Zcopy-Notifier gelöscht wurde. Auf diese Weise lässt sich mit jedem fehlgeschlagenen Zerocopy-Versand eine Referenz der ersten Speicherseite entwenden.