La vulnerabilidad CIFSwitch, documentada a finales de mayo de 2026 y recogida por WinFuture el 2 de junio, permite a usuarios locales sin privilegios obtener acceso root en sistemas Linux mediante una escalada de privilegios en el cliente CIFS/SMB del kernel. El fallo, analizado por el investigador Asim Manizada, afecta a la interacción entre el kernel, el paquete cifs-utils y los ayudantes privilegiados del espacio de usuario, en particular con autenticación Kerberos/SPNEGO. No es una vulnerabilidad explotable de forma remota.
Técnicamente, el problema reside en la insuficiente verificación de las descripciones cifs.spnego: el kernel aceptaba peticiones que no procedían estrictamente del código CIFS del propio kernel, lo que permitía a un proceso local no privilegiado generar solicitudes manipuladas tratadas como legítimas. Combinado con espacios de nombres sin privilegios y cifs-utils, esto derivaba, bajo ciertas configuraciones, en una escalada local hasta root.
Los requisitos de explotación son concretos: cifs-utils debe estar instalado, el módulo CIFS cargado o cargable y los user namespaces sin privilegios deben estar disponibles. Las distribuciones verificadas como afectadas incluyen Linux Mint 21.3 y 22.3, CentOS Stream 9, Rocky Linux 9, Kali Linux, AlmaLinux 9, SLES 15 SP7, Ubuntu 18.04 a 24.04, Debian 11 a 13, openSUSE Leap 15.6, openSUSE Tumbleweed, Oracle Linux 8/9 y Amazon Linux 2023.
El parche upstream, titulado "smb: client: reject userspace cifs.spnego descriptions", rechaza las descripciones cifs.spnego procedentes del espacio de usuario. AlmaLinux publicó el 28 de mayo de 2026 kernels de prueba para las versiones 8, 9 y 10; en AlmaLinux 10 y Kitten 10 con SELinux en modo Enforcing el exploit público queda bloqueado, aunque ello no constituye una solución definitiva. La disponibilidad de un proof of concept público en GitHub incrementa la urgencia de aplicar las actualizaciones.