Linux 内核再次曝出本地提权漏洞，安全研究人员 Hyunwoo Kim 公开了名为 Dirty Frag 的漏洞链，指出攻击者若已在受影响的 Linux 系统上执行程序，可能通过低权限账户获取 Root 权限。由于 Dirty Frag 漏洞影响所有主流 Linux 环境，且在发行版完成补丁更新和 CVE 编号申请前，已有第三方公开部分漏洞细节与攻击代码，研究人员不得不提前披露完整信息。

Dirty Frag 属于本地提权漏洞，攻击者必须先能在受影响系统上执行程序，无法通过互联网远程入侵。但对于多用户共享主机、开发测试环境、云工作负载，以及允许运行不可信程序的系统而言，风险依然较高。研究人员指出，攻击者可利用 Linux 内核的页面缓存（Page Cache），篡改内存中的文件内容，使系统后续读取或执行该文件时，使用被修改的缓存版本。

Dirty Frag 的问题出现在 Linux 内核处理网络数据与加解密数据时，未能正确识别部分数据实际来源于文件缓存。Linux 为提升性能，会将文件内容暂存在内存中，以便程序下次读取时无需重新从磁盘加载。Dirty Frag 漏洞的关键在于，攻击者可让本应仅用于读取的文件缓存页面，被错误地纳入内核后续处理的网络数据流中。

当 Linux 内核处理 ESP 加密通信数据时，可能误以为这些数据仅为普通网络数据，可直接在原内存位置进行修改。问题在于，这些数据仍与文件缓存关联，因此解密过程可能将内容写回原始的文件缓存。修复方案是让内核识别此类共享数据，若后续处理可能修改内容，则先复制一份再进行操作，避免直接改动原始文件缓存。

另一条 RxRPC 路径也存在类似问题，同样与数据共享有关。RxRPC 是 Linux 内核支持的一种网络通信机制，内核原本会检查数据包是否需要先复制再处理，但该检查无法识别部分网络数据仍与文件缓存相连。因此，当这类数据进入 RxRPC 处理流程后，解密后的数据可能被写回原始文件缓存。修复提案改为在解密前先复制数据包，确保后续处理仅作用于副本，而不影响原始文件缓存。

研究人员指出，Dirty Frag 与近期 Linux 内核漏洞 Copy Fail（CVE-2026-31431）同样涉及页面缓存写入问题，但 Dirty Frag 影响的是不同的内核处理路径，因此即使系统已应用 Copy Fail 的缓解措施，也不能直接认为 Dirty Frag 的风险已被排除。