Qualysovi sigurnosni stručnjaci otkrili su kritičnu ranjivost u Linux operativnom sistemu koja običnom korisniku ili zlonamjernom napadaču omogućava sticanje potpune administrativne kontrole nad ugroženim uređajima.

Ova greška postoji u Linuxu još od 2016. godine i pogađa standardne instalacije brojnih popularnih distribucija poput Red Hata, SUSE-a, Debian-a, Fedore, AlmaLinux-a, CloudLinux-a i drugih.

Prema riječima iz Qualysa, napadači mogu iskoristiti ovaj propust za pregled osjetljivih datoteka ili izvršavanje naredbi s najvišim nivoom privilegija.

Ranjivost je registrirana pod oznakom CVE-2026-46333 i ocijenjena ocjenom 5.5/10 (srednji nivo ozbiljnosti). Djeluje tako što iskorištava kratki vremenski interval u kojem privilegovani proces, dok odbacuje svoje identifikacijske podatke, i dalje ostaje dostupan.

Kada se program s administratorskim pravima gasi, Linux bi trebao odmah spriječiti druge programe da mu pristupe. CVE-2026-46333 uzrokuje da se ta blokada dogodi djelić sekunde prekasno, što običnim korisnicima bez privilegija omogućava da iskoriste taj minimalni vremenski prostor.

Qualys je izradio četiri funkcionalna primjera napada koji demonstriraju praktičnu opasnost, potvrdivši da djeluju na standardnim instalacijama Debian 13, Ubuntu 24.04/26.04, Fedore 43 i Fedore 44.

Istraživači su privatno prijavili ovaj propust sigurnosnom timu Linux jezgra 11. maja 2026., a tim je odgovorio zakrpom tri dana kasnije, 14. maja. Ubrzo nakon toga pojavio se nezavisni eksploit izveden iz javno objavljenog koda, čime je praktično prekršen embargo na objavu informacija, što je ubrzalo izdavanje potpunog službenog obavještenja.

Administratorima se savjetuje da odmah primjene ažuriranje jezgra koje je izdala njihova distribucija. Oni koji ne mogu odmah instalirati zakrpu trebali bi podići vrijednost kernel.yama.ptrace_scope na 2 kako bi blokirali javno dostupne eksploite.

Za računare na kojima su postojali lokalni korisnici kojima se nije u potpunosti vjerovalo tokom perioda izloženosti, preporučuje se da se SSH ključevi i lokalno keširani kredencijali tretiraju kao kompromitirani te da se zamijene (rotiraju) što je prije moguće.