Дослідники з команд безпеки Zellic та V12 опублікували робочий код експлойту для критичної вразливості в ядрі Linux, яка отримала назву DirtyDecrypt. Вразливість, що відстежується під ідентифікатором CVE-2026-31635, дозволяє локальне підвищення привілеїв в системі. Технічна проблема криється у функції rxgk_decrypt_skb(), яка відповідає за розшифрування вхідних сокет-буферів на стороні прийому даних. Під час обробки трафіку ядро працює зі сторінками пам’яті, які частково спільно використовуються з кешем сторінок інших системних процесів. У нормальних умовах архітектура Linux використовує механізм оптимізації та захисту “копіювання під час запису”, який створює ізольовану приватну копію даних перед внесенням будь-яких змін. Однак у зазначеній функції цей запобіжник був відсутній.

Відсутність механізму захисту COW призводить до того, що розшифровані дані записуються безпосередньо в пам’ять привілейованих процесів або в кеш сторінок критично важливих системних файлів. Залежно від вектора атаки, зловмисник може перезаписати такі файли, як /etc/shadow, /etc/sudoers або бінарні файли з атрибутом SUID, що неминуче призводить до отримання повних root-прав локальним користувачем. Вразливість зачіпає виключно ті дистрибутиви Linux, у яких увімкнено параметр компіляції CONFIG_RXGK, серед яких Fedora, Arch Linux та openSUSE Tumbleweed. Особливу небезпеку DirtyDecrypt становить для сучасних контейнерних середовищ: якщо робочі вузли використовують вразливу версію ядра, хакери можуть успішно використати цей недолік для виходу за межі ізольованого контейнера і повного захоплення хост-системи.