Investigadores divulgaron una vulnerabilidad identificada como CVE-2026-46243 que afecta la interacción entre el subsistema CIFS del kernel Linux y la herramienta cifs-utils. La falla permite que usuarios con pocos privilegios obtengan acceso root en determinadas configuraciones y distribuciones, mediante la manipulación de solicitudes de autenticación utilizadas por el protocolo SMB.
Una vulnerabilidad de escalamiento local de privilegios denominada CIFSwitch fue revelada públicamente tras un proceso coordinado de divulgación con mantenedores y distribuidores de Linux. El problema afecta la interacción entre el cliente CIFS del kernel y la utilidad cifs.upcall incluida en cifs-utils, componente utilizado para gestionar autenticación Kerberos en recursos compartidos SMB. La falla fue identificada por el investigador Asim Manizada, quien además publicó documentación técnica y código de prueba de concepto para facilitar la validación de mitigaciones y parches.
De acuerdo con un reporte publicado por el investigador, el origen del problema radica en que el subsistema CIFS no verificaba adecuadamente si determinadas solicitudes de autenticación provenían realmente del cliente CIFS del kernel. Esto permitía que procesos sin privilegios generaran solicitudes manipuladas que posteriormente eran procesadas por cifs.upcall con privilegios elevados. Según explica el reporte técnico, “un atacante en el espacio de usuario puede llamar request_key(«cifs.spnego», totally_fake_description, …) directamente”.
La cadena de explotación aprovecha campos específicos incluidos en dichas solicitudes para forzar que el proceso privilegiado cambie al espacio de nombres controlado por el atacante antes de completar determinadas operaciones del sistema. Posteriormente, el atacante puede influir en mecanismos de resolución de cuentas y carga de bibliotecas compartidas para ejecutar código con privilegios de administrador. La prueba de concepto publicada demuestra cómo este mecanismo puede utilizarse para otorgar acceso administrativo persistente al sistema comprometido.
La investigación señala que la vulnerabilidad existe desde 2007 y que su explotación depende de una combinación de factores, incluyendo versiones vulnerables del kernel, determinadas versiones de cifs-utils y configuraciones específicas de seguridad. Entre las distribuciones confirmadas como vulnerables en configuraciones predeterminadas se encuentran Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux y SLES 15. Otras distribuciones pueden resultar afectadas cuando cifs-utils ha sido instalado manualmente.
El aviso de seguridad distribuido a través de Openwall indica que la corrección implementada en el kernel incorpora un mecanismo de validación adicional para aceptar únicamente solicitudes originadas desde credenciales internas legítimas del cliente CIFS. En la explicación técnica del parche se señala que las descripciones asociadas a cifs.spnego deben ser aceptadas únicamente cuando provienen del contexto autorizado del subsistema CIFS. Asimismo, el investigador recomienda reforzar la validación también en el componente de espacio de usuario para evitar que se confíe automáticamente en datos potencialmente manipulados.
Respecto del protocolo involucrado, la documentación técnica recuerda que CIFS/SMB es un protocolo de sistema de archivos de red de estilo Windows. El mecanismo vulnerable forma parte de la autenticación utilizada para acceder a recursos compartidos mediante Kerberos y SPNEGO.
Los mantenedores del kernel ya publicaron correcciones para el problema y diversas distribuciones comenzaron a incorporar actualizaciones durante mayo. Como medida adicional, los responsables de la investigación recomiendan deshabilitar módulos CIFS no utilizados, eliminar cifs-utils cuando no sea necesario y restringir la creación de espacios de nombres sin privilegios. El investigador también destacó que el hallazgo fue realizado mediante una metodología asistida por inteligencia artificial orientada a identificar relaciones de confianza entre componentes privilegiados y datos controlados por usuarios.