CVE-2026-46243 expone una vulnerabilidad en el cliente CIFS/SMB que cualquier usuario sin privilegios puede explotar para obtener root. Los mantenedores del kernel advierten además que la lista de seguridad está colapsando por reportes IA duplicados.
La vulnerabilidad vivió silenciosa durante diecinueve años en el path SPNEGO upcall del cliente CIFS/SMB del kernel. El PoC público fue publicado el 28 de mayo; los parches llegaron el 2 de junio.
CVE-2026-46243, bautizado CIFSwitch, es una vulnerabilidad de escalada de privilegios local en el cliente CIFS/SMB del kernel Linux que permite a cualquier usuario local sin privilegios obtener root con un exploit de una sola línea de comando. El bug lleva latente en el kernel desde 2007 —diecinueve años en producción— y el proof-of-concept fue publicado el 28 de mayo por investigadores de seguridad de Qualys, según BleepingComputer. Los kernels parcheados llegaron a repositorios de producción el 2 de junio para Red Hat (RHSB-2026-005), AlmaLinux y CloudLinux. Red Hat, AlmaLinux y CloudLinux publicaron parches y guías de mitigación para instalaciones que no pueden actualizar el kernel de inmediato. TuxCare documentó las mitigaciones disponibles: deshabilitar el módulo cifs, restringir montajes CIFS a root o usar Live Patching para aplicar el parche sin reiniciar el sistema. Las versiones del kernel a partir del 2 de junio en los repositorios oficiales de todas las distribuciones principales incluyen la corrección. Para servidores de empresas costarricenses que montan unidades Windows compartidas mediante CIFS — una configuración común en redes corporativas mixtas Windows/Linux — la ventana de exposición fue amplia: cualquier usuario con acceso a shell podía obtener root. La Information Security de Intel Belén confirmó en su blog interno que el parche fue aplicado en sus sistemas de producción en Costa Rica el mismo 2 de junio.
Con CIFSwitch, suman tres vectores de privilege escalation activos simultáneamente en el kernel Linux, el mayor acúmulo de LPE explotables desde el ciclo de vulnerabilidades de 2022.
Mientras los equipos de seguridad trabajaban en CIFSwitch, dos CVEs adicionales acaparan atención. CVE-2026-31431, conocido como Copy Fail, es un fallo en la plantilla criptográfica authencesn del kernel que permite a un usuario local escribir cuatro bytes controlados en la caché de páginas de cualquier archivo legible del sistema y obtener root — el exploit es un script Python de diez líneas que funciona en prácticamente todas las distribuciones publicadas desde 2017, con CVSS 7.8, según The Register. CVE-2026-31431 afecta a Red Hat OpenShift on IBM Cloud en versiones 4.16 a 4.20. CVE-2026-46333 es una condición de carrera durante la salida de procesos que permite a un usuario local sin privilegios leer archivos sensibles accesibles solo por root, incluyendo claves privadas SSH del host o el contenido de /etc/shadow, según el portal de CVE de Red Hat. El proof-of-concept de CVE-2026-46333 es público. Los tres CVEs juntos configuran un escenario donde cualquier usuario con acceso shell — legítimo o no — puede obtener acceso completo al sistema en distribuciones sin parchear. La combinación es especialmente peligrosa en entornos de hosting compartido o servidores de CI/CD con usuarios múltiples.
Greg Kroah-Hartman publicó simultáneamente parches estables para siete ramas del kernel, desde la 5.10 hasta la 7.0, todos incluyendo la corrección de CIFSwitch.
La imagen de instalación de Arch Linux de junio de 2026 incluye el kernel Linux 7.0.10, Pacman 7.1, systemd 260.2 y paquetes de escritorio actualizados, según Linuxiac. La ISO incorpora por defecto los parches de CIFSwitch (CVE-2026-46243). Greg Kroah-Hartman publicó el 3 de junio versiones estables del kernel en siete ramas: 7.0.11, 6.18.34, 6.12.92, 6.6.142, 6.1.175, 5.15.209 y 5.10.258, todas con la corrección del cliente CIFS/SMB. Usuarios de distribuciones rolling como Arch y Manjaro que actualizan regularmente ya tienen el parche instalado sin acción adicional.
cat /feed/kernel71desarrollo.md
> El kernel Linux 7.1 se encuentra en sus etapas finales de desarrollo, con el pull request de DRM (drivers gráficos y aceleradores) siendo el más voluminoso del ciclo, según InGameNews. Se espera la versión estable durante junio de 2026. Linux 7.2, por su parte, ya tiene en la lista de características confirmadas Cache Aware Scheduling y soporte para arrancar en dispositivos Apple M3. Los contribuyentes del kernel reportaron que el tiempo promedio de revisión de un parche de seguridad legítimo aumentó de 4,2 días a 9,8 días en lo que va del año, directamente atribuible al volumen de reportes duplicados generados por herramientas de IA.
Los mantenedores del kernel Linux advirtieron esta semana que la lista de seguridad se está volviendo «casi completamente inmanejable» porque múltiples usuarios utilizan herramientas de IA idénticas para escanear la base de código y generan reportes duplicados del mismo problema una y otra vez, según InGameNews. El tiempo de revisión de parches legítimos se duplicó en lo que va del año como consecuencia directa del ruido. Los mantenedores pidieron a la comunidad un protocolo más estricto antes de reportar: verificar que el problema no fue ya reportado, confirmar que es reproducible en kernel upstream, y no usar escáneres de IA sin filtrado manual posterior. El fenómeno ilustra una tensión nueva en el open source: las mismas herramientas que democratizan la contribución al software libre pueden degradar la infraestructura de revisión cuando se usan masivamente sin coordinación. El Open Source Initiative publicó el 4 de junio un borrador de directrices para el uso ético de IA en contribuciones a proyectos open source, con la lista de seguridad del kernel como caso de estudio central. Para desarrolladores costarricenses que contribuyen a proyectos abiertos, el mensaje es directo: la calidad del reporte vale más que la velocidad del escáner.
El Sovereign Tech Fund (STF) de Alemania anunció una inversión de €1.285.200 en KDE para los años 2026 y 2027, según Help Net Security. La inversión llegó tras una auditoría de seguridad del proyecto KDE Linux —la distribución en desarrollo de la comunidad KDE— que identificó múltiples problemas en módulos upstream del kernel y llevó a retirar varios paquetes y retornar al kernel Linux vainilla. El STF considera a KDE infraestructura crítica digital para Europa y ha financiado proyectos como curl, OpenSSH y Rust en años anteriores.
La primera semana de junio concentró el mayor volumen de vulnerabilidades de escalada de privilegios activas en Linux en lo que va de 2026: CIFSwitch, Copy Fail y CVE-2026-46333 funcionaron en paralelo sobre millones de servidores hasta que llegaron los parches el 2 de junio. El kernel 7.1 avanza hacia su lanzamiento estable. Y la lista de seguridad del kernel, sobrecargada por reportes IA duplicados, exige coordinación que la comunidad aún no ha formalizado. El Sovereign Tech Fund alemán apunta hacia dónde va el financiamiento del open source: auditorías primero, dinero después.