Linuxカーネルのロジック上の欠陥により、権限を持たないローカルユーザーがルート限定のファイルを読み取り、ルート権限で任意のコマンドを実行できることが判明した [1, 2, 3]。
この脆弱性は、Ubuntu、Debian、Fedoraを含む主要なLinuxディストリビューションのデフォルトインストール環境に影響を与えるため、極めて深刻である [1, 4]。この欠陥を悪用することで、制限付きの権限しか持たないユーザーがセキュリティ制限を回避し、システムを完全に制御することが可能になる。
この脆弱性は、Qualys Threat Research Unit、およびXint.ioとTheoriの研究者によって発見された [1, 2]。Qualys Threat Research Unitによると、このバグは2016年11月(v4.10-rc1)以来、メインラインのLinuxに存在していたという [1, 6]。
欠陥の原因は、不適切な権限管理ロジックにある [2, 5]。このエラーにより、誤った場所に4バイトの書き込みが行われ、それが権限昇格を可能にする [2, 5]。
なお、本脆弱性の識別番号に関する報道は分かれている。The Hacker NewsはCVE-2026-46333として特定しているが [5]、FreePressJournalはCVE-2026-31431として引用している [2]。また、MSNは「Fragnesia」と呼ばれる欠陥としてCVE-2026-46300と言及している [3]。
脆弱性の深刻度スコアについても、報告によって差がある。The Hacker NewsはCVSSスコアを5.5と報じたが [5]、FreePressJournalは7.8としている [2]。
「CVE-2026-46333は、2016年11月に導入された9年前のLinuxカーネルにおける不適切な権限管理の欠陥であり、CVSSスコアは5.5である」と、The Hacker Newsの編集チームは述べている [5]。
“このバグは2016年11月(v4.10-rc1)以来、メインラインのLinuxに存在していた。”
Linuxカーネルという基盤となるオープンソースコードに、10年近くも「休眠」していたバグが存在していたことは、持続的なリスクを浮き彫りにしている。最も広く利用されているディストリビューションのデフォルト設定に影響するため、潜在的な攻撃対象領域は広大である。ただし、攻撃者がすでにマシンへのローカルアクセス権を持っている必要がある。CVSSスコアやCVE識別子の不一致は、セキュリティ研究者やディストリビューターの間で現在もトリアージと分類のプロセスが進行中であることを示唆している。
