Una vulnerabilidad en nf_tables, el componente del kernel de Linux que sustenta nftables, permite a un usuario sin privilegios escalar a root en sistemas con user namespaces y NF_TABLES activados. El parche llegó al kernel el 5 de febrero de 2026 y el fallo se sigue como CVE-2026-23111.El kernel de Linux arrastra un fallo de seguridad relevante en nf_tables, la pieza del subsistema netfilter que permite a nftables gestionar filtrado y reglas de red. El problema abre la puerta a una escalada local de privilegios hasta root cuando el sistema permite a usuarios sin privilegios crear user namespaces y usar nftables, una combinación habitual en muchos entornos modernos y, sobre todo, en máquinas multiusuario o con servicios donde conviven cuentas con distintos niveles de confianza.La vulnerabilidad se encuadra en un use after free, un tipo de error especialmente delicado porque deja al kernel usando memoria que ya se ha liberado. Aquí la causa está en una comprobación con lógica invertida dentro de nft_map_catchall_activate(), durante el camino de abortado de una transacción. Cuando el kernel intenta reactivar elementos catchall en mapas de veredictos, la condición mal planteada hace que se salten elementos inactivos que deberían restaurarse.Esa omisión no es un detalle menor: impide recomponer correctamente el contador chain->use de una cadena que sigue referenciada por veredictos NFT_GOTO o NFT_JUMP. Tras repetir abortos de transacciones, el contador puede bajar a cero aunque todavía existan referencias válidas. En ese punto, el sistema permite borrar la cadena y liberar memoria que el kernel aún considera accesible. El resultado es el use after free y, con suficiente control, la posibilidad de tomar el mando.La investigación pública describe una cadena de explotación completa: incluye fugas de direcciones del kernel para sortear KASLR, filtrado de direcciones en el heap y un secuestro del flujo de ejecución mediante ROP. En pruebas controladas, el exploit supera el 99 por ciento de estabilidad en condiciones ociosas, aunque la tasa cae aproximadamente al 80 por ciento cuando se somete al sistema a una presión intensa de asignaciones de memoria.El parche se incorporó al proyecto original el 5 de febrero de 2026 y el seguimiento se ha consolidado como CVE-2026-23111, con clasificaciones de severidad altas en distribuciones populares. Ubuntu lo marca como alta prioridad y le asigna una CVSS v3.1 de 7.8, con vector local, baja complejidad y sin necesidad de interacción del usuario.La mitigación pasa por algo poco glamuroso pero urgente: actualizar. Conviene aplicar los kernels corregidos cuanto antes, priorizando servidores y equipos multiusuario. También resulta sensato revisar el hardening de user namespaces donde no aporten valor operativo, limitar quién puede gestionar reglas de nftables y vigilar el despliegue de kernels en ramas LTS y variantes específicas de proveedores cloud, donde los desfases de versión suelen convertirse en la grieta por la que se cuelan este tipo de escaladas.Más informaciónblog.exodusintel.com – Off By !: Exploiting a Use-after-Free in the Linux Kernel : https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/The Hacker News – One-Character Linux Kernel Flaw Enables Local Root Access, Exploits Now Public : https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.htmlUbuntu Security – CVE-2026-23111 : https://ubuntu.com/security/CVE-2026-23111Debian Security Tracker – CVE-2026-23111 : https://security-tracker.debian.org/tracker/CVE-2026-23111La entrada Un fallo en nftables permite escalar a root en Linux con un exploit estable se publicó primero en Una Al Día.