Los investigadores Yuki Koike y Kota Toda, de la firma japonesa GMO Cybersecurity by Ierae, han revelado los detalles de CVE-2026-43456, una vulnerabilidad de tipo "type confusion" en el subsistema net/bonding del kernel Linux que permaneció oculta durante casi dos décadas. El código defectuoso se incorporó al kernel en 2007, mediante el commit 1284cd3a2b74, y afecta a todas las versiones comprendidas entre Linux 2.6.24 y 6.12.77, lo que le confiere un alcance extremadamente amplio.
El fallo se origina en una única línea de la función bond_setup_by_slave, donde se asigna al dispositivo bond la tabla de funciones header_ops del dispositivo esclavo. Al conectar un dispositivo GRE como esclavo, la interpretación de la zona privada del dispositivo bond como si fuera una estructura ip_tunnel provoca corrupción de memoria. Los investigadores desarrollaron un exploit que logra escalada de privilegios con una tasa de éxito superior al 99% en menos de un segundo.
Por su gravedad y fiabilidad, la vulnerabilidad fue presentada al programa de recompensas kernelCTF de Google, donde obtuvo una recompensa superior a 80.000 dólares. El fallo fue corregido en marzo de 2026 y la mitigación recomendada es actualizar a las últimas versiones de las distribuciones Linux. Como alternativa, se puede deshabilitar el módulo bonding o impedir que usuarios sin privilegios obtengan la capacidad CAP_NET_ADMIN.
