CVE-2026-46331, surnommée « Pedit COW », est une vulnérabilité d’écriture hors limites (out-of-bounds write) dans le sous-système traffic-control (tc) du noyau Linux, plus précisément dans l’action act_pedit. Elle permet à un utilisateur local non privilégié d’obtenir un accès root complet. Publiée le 16 juin 2026, elle a vu apparaître un PoC fonctionnel sur GitHub en moins de 24 heures.

Résumé technique La faille réside dans la fonction tcf_pedit_act() du fichier net/sched/act_pedit.c. Cette fonction calcule la plage de copy-on-write (COW) pour skb_ensure_writable() une seule fois, avant la boucle de traitement des clés, en s’appuyant sur la valeur tcfp_off_max_hint.

Le problème : ce « hint » ne prend pas en compte le décalage d’en-tête (header offset) ajouté au moment de l’exécution par les clés typées. Une partie de la zone d’écriture peut donc rester non « COW-ée ». L’attaquant peut ainsi écrire en dehors de la limite copy-on-write prévue et corrompre des données dans la mémoire partagée du page cache.

Le caractère particulièrement dangereux de cette faille tient à un point : l’attaque cible le cache mémoire du système et non les fichiers réellement stockés sur disque. Les contrôles d’intégrité de fichiers traditionnels (AIDE, Tripwire, etc.) sont donc inopérants face à ce vecteur.