Dirty Frag ailesinin yeni bir türevi olan Fragnesia (CVE-2026-46300), Linux çekirdeğinde yerel ayrıcalık yükseltme açığı olarak ortaya çıktı. Bulut güvenlik firması Wiz'in analizine göre, güvenlik açığı Zellic ve V12 ekibinden William Bowling tarafından keşfedildi ve 13 Mayıs'ta bir proof-of-concept (PoC) istismarı yayımlandı. Bu açık, 13 Mayıs'tan önceki tüm Linux çekirdeklerini etkiliyor ve ayrıcalıksız yerel kullanıcıların, salt okunur dosyaların çekirdek sayfa önbelleğine rastgele baytlar yazarak root yetkisi kazanmasına olanak tanıyor.
Açık, çekirdeğin soket tamponlarını birleştirirken paylaşılan sayfa parçalarını nasıl izlediğiyle ilgili. Belirli bir işlem sırası altında, bu izleme başarısız oluyor ve çekirdek, hangi bellek sayfalarının harici dosyalarla desteklendiğini kaybediyor. Saldırgan, dosya içeriğini bir TCP soketine besleyip ardından aynı sokette ESP-in-TCP şifrelemesini etkinleştirerek bu karışıklığı yaratabiliyor. Çekirdek daha sonra, kuyruktaki baytları doğrudan önbelleğe alınmış dosya sayfaları üzerinde çözerek, AES-GCM anahtar akışıyla kontrollü bellek yazmaları gerçekleştiriyor.
Bowling'in yayımladığı PoC'de, bu teknik /usr/bin/su ikili dosyasının başlangıç baytlarını, bir root kabuğuna düşen kısa bir yük ile yeniden yazmak için kullanıldı. Değişiklik yalnızca çekirdeğin belleğindeki ikili dosya kopyasında yapıldığından, diskteki dosya bozulmadan kalıyor ve standart disk adli tıp yöntemleriyle iz bırakmıyor. Bowling, Fragnesia'yı "dirtyfrag'den ayrı bir ESP/XFRM hatası" olarak tanımlarken, Dirty Frag'ı keşfeden araştırmacı Hyunwoo Kim, bu yeni açığın orijinal güvenlik açıklarını gidermek için uygulanan yamalardan birinin istenmeyen bir yan etkisi olarak ortaya çıktığını söyledi.
Fragnesia'nın duyurusu, Nisan ve Mayıs aylarında açıklanan Copy Fail (CVE-2026-31431) ve Dirty Frag (CVE-2026-43284, CVE-2026-43500) gibi diğer Linux çekirdeği güvenlik açıklarını takip ediyor. Bir üst akış yaması 13 Mayıs'ta netdev posta listesine gönderildi ancak henüz ana çekirdeğe eklenmedi. Ancak birçok Linux dağıtımı kendi yamalarını yayınlamaya başladı. Fragnesia, Dirty Frag ile aynı esp4, esp6 ve rxrpc çekirdek modüllerini kullandığından, bu modülleri devre dışı bırakan yöneticiler geçici olarak korunuyor. Ayrıca, ayrıcalıksız kullanıcı ad alanlarının kısıtlanması ve şüpheli ad alanı oluşturma veya XFRM manipülasyonunun izlenmesi öneriliyor.