Exploit for Use After Free in Linux Linux_Kernel CVE-2026-23111

Name: Exploit for Use After Free in Linux Linux_Kernel CVE-2026-23111
Rating: 5 (6 reviews)
2026-06-10 | CVSS 7.8
## https://sploitus.com/exploit?id=C9AAB7DD-E949-53B3-9315-8BADD7B9C138
# Auditor CVE-2026-23111 (Linux Kernel `nf_tables` UAF)

Este repositorio contiene un script de auditoría automatizado en **Bash** diseñado para evaluar de manera profunda y precisa la vulnerabilidad **CVE-2026-23111** en entornos Linux. 

---

## 🔍 ¿Qué es la vulnerabilidad CVE-2026-23111?

**CVE-2026-23111** es una vulnerabilidad de tipo **Use-After-Free (UAF)** descubierta en el subsistema **`nf_tables`** del Kernel de Linux (afectando de manera general a versiones de desarrollo y estables previas a la rama **6.13**). 

El fallo radica en una gestión incorrecta de memoria dentro de la lógica de activación de elementos capturados (`nft_map_catchall_activate`). Un atacante local con pocos privilegios puede aprovechar este fallo para lograr una **Escalación Local de Privilegios (LPE)** a `root`.

### Vectores y Requisitos para la Explotación:
Para que un exploit tenga éxito en un sistema, usualmente deben coexistir tres factores simultáneos:
1. **Kernel afectado:** Un kernel que incluya el bug sin parchear.
2. **User Namespaces activos:** Permite a usuarios sin privilegios clonar un espacio de nombres (`CAP_NET_ADMIN`) para interactuar directamente con `nf_tables`.
3. **Módulo habilitado:** El módulo `nf_tables` debe estar cargado o disponible para su auto-carga por el sistema operativo.

---

## 🛠️ Características del Script Avanzado

Este script de Bash realiza una auditoría detallada analizando cuatro capas críticas:

* **Identificación del Entorno:** Extrae la versión exacta del kernel y la distribución.
* **Análisis de Mitigación de Namespaces:** Inspecciona los parámetros de `sysctl` (`unprivileged_userns_clone` o `max_user_namespaces`) para verificar si el vector de entrada del exploit común está bloqueado.
* **Estado del Módulo de Red:** Detecta si `nf_tables` está cargado o si existe una regla de bloqueo (*blacklist*) en los archivos de configuración de `modprobe.d`.
* **Inspección de Compilación (`CONFIG_X`):** Busca y lee las banderas de compilación del kernel operativo (vía `/proc/config.gz` o `/boot/config-*`) para verificar la presencia de `CONFIG_USER_NS` y `CONFIG_NF_TABLES`.

---

## Ejecución: bash CVE-2026-23111-checker.sh