文章总结： Fragnesia是Linux内核XFRMESP-in-TCP子系统中的本地权限提升漏洞，属于DirtyFrag类别。该漏洞通过操纵TCP套接字切换ULP模式时的逻辑缺陷，实现对只读文件内核页面缓存的任意字节写入，无需竞争条件即可获取root权限。受影响版本为2026年5月13日前未打补丁的内核，建议及时更新补丁。 综合评分： 84 文章分类： 漏洞分析,漏洞预警,Linux安全,内核安全,应急响应

Linux 又爆本地权限提升漏洞—Fragnesia

原创

Esn Arsenal Esn Arsenal

Esn技术社区

2026年5月15日 06:13 河南

在小说阅读器读本章

去阅读

适用于Linux系统的通用漏洞利用工具。 它属于Dirty Frag类型的漏洞（攻击面相同），但仍属于独立的漏洞类别 !

是啊，又来了。 )))

*

漏洞利用

Fragnesia 是一个通用的 Linux 本地权限提升漏洞，由William Bowling和V12 团队使用V12 版本发现。Fragnesia 属于Dirty Frag漏洞类别。它与Dirty Frag 是 ESP/XFRM 中的一个独立漏洞，后者已发布单独的补丁。然而，它们处于同一攻击面，缓解措施也与 Dirty Frag 相同。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

Esn技术社区已关注

分享视频

，时长00:18

0/0

00:00/00:18

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:18

00:18

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

Linux 又爆本地权限提升漏洞—Fragnesia

观看更多

原创

,

Linux 又爆本地权限提升漏洞—Fragnesia

Esn技术社区已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

利用 Linux XFRM ESP-in-TCP 子系统中的逻辑漏洞，实现对只读文件的内核页面缓存进行任意字节写入，而无需任何竞争条件。

该技术扩展了包含脏管道漏洞在内的页面缓存写入漏洞类：当 TCP 套接字espintcp在数据已从文件剪切到接收队列后切换到 ULP 模式时，内核会将排队的文件页作为 ESP 密文处理。计数器块位置 2、字节 0 处的 AES-GCM 密钥流字节会直接与缓存的文件页进行异或运算。通过选择 IV nonce 来生成所需的密钥流字节，可以将文件中的任何目标字节设置为任何值——每次触发调用对应一个字节。

该漏洞利用程序构建了一个包含 256 个条目的查找表，将每个可能的密钥流字节映射到其对应的 nonce 值，然后遍历有效载荷，对每个需要修改的字节触发 splice/ULP 竞争条件。它会在页面缓存的/bin/sh前 192 个字节上写入一个小的位置无关 ELF 存根（setresuid/setresgid/execve） ，然后调用函数获取 root shell。页面缓存的修改不会回滚到磁盘；磁盘上的二进制文件保持不变。/usr/bin/su``execve("/usr/bin/su")

受影响版本

受 dirtyfrag 影响的所有版本都会受到影响。

任何没有此补丁的版本：https://lists.openwall.net/netdev/2026/05/13/79，即 2026 年 5 月 13 日之前的 Linux 内核。

Linux localhost 6.8.0-111-generic #111-Ubuntu SMP PREEMPT_DYNAMIC Sat Apr 11 23:16:02 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux已确认可在（从 Linode 购买的 VPS）上运行。

地址：https://github.com/v12-security/pocs/tree/main/fragnesia

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Esn技术社区 Esn Arsenal Esn Arsenal《Linux 又爆本地权限提升漏洞—Fragnesia》