El 21 de marzo de 2026 el proyecto OpenBSD publicó la errata 024 para la versión 7.8. Es un parche corto, catalogado como “reliability fix” para todas las arquitecturas, que arregla tres vulnerabilidades de denegación de servicio en libexpat, la librería que el sistema base usa para parsear XML. Los identificadores son CVE-2026-32776, CVE-2026-32777 y CVE-2026-32778.
Qué falla
libexpat (expat) es el parser de XML que aparece en medio mundo: navegadores, servidores web, herramientas de línea de comandos y multitud de bibliotecas que cargan ficheros de configuración o feeds. Los tres fallos comparten un mismo final, una caída del proceso que está parseando, pero llegan a él por caminos distintos.
- CVE-2026-32776: una desreferencia de puntero NULL cuando el contenido de una entidad de parámetro externa está vacío. Al procesar ese caso, el código accede a un puntero que nunca se inicializó.
- CVE-2026-32777: un bucle infinito al recorrer el contenido de una DTD. Lo encontró el fuzzer ClusterFuzz de Google. El proceso no se cierra, pero se queda colgado consumiendo CPU.
- CVE-2026-32778: otra desreferencia NULL, esta vez en la función
setContext, que se dispara al reintentar tras una condición previa de falta de memoria.
Ninguno de los tres permite ejecutar código ni leer datos ajenos. El impacto se limita a disponibilidad: con un XML preparado a propósito, un atacante consigue que la aplicación que confía en expat se caiga o se quede pillada. La puntuación CVSS de los tres es 5.5, un vector local pero con impacto alto sobre la disponibilidad (AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
A quién afecta
Todo el que ejecute OpenBSD 7.8 y use componentes que dependan de libexpat para tratar XML de origen no confiable. El riesgo real depende de tu exposición: si una aplicación tuya parsea ficheros XML que recibe de fuera (subidas de usuarios, feeds remotos, mensajes), un documento malicioso basta para tumbar ese servicio. En instalaciones que solo procesan XML propio el peligro es mucho menor, aunque conviene parchear igual.
Esto no es exclusivo de OpenBSD. expat está prácticamente en todas partes, y los mismos CVE han generado avisos en Debian, SUSE, Amazon Linux e IBM, entre otros. La corrección original llegó en expat 2.7.5; cada distribución la ha ido integrando a su ritmo.
Cómo protegerse
En OpenBSD 7.8 aplica la errata 024 con el procedimiento de costumbre:
# syspatchSi gestionas los parches a mano, descarga el binario o el código de la errata desde la página oficial y sigue las instrucciones de compilación que acompañan a cada entrada. Tras instalar, reinicia o reinicia los servicios que tengan cargada la librería en memoria para que tomen la versión corregida.
Si administras sistemas heterogéneos, repasa también el resto de tus máquinas: cualquier paquete que enlace contra expat por debajo de la 2.7.5 arrastra los mismos tres fallos. Mira el rastreador de seguridad de tu distribución y actualiza el paquete expat/libexpat allá donde esté.
OpenBSD mantiene su historial completo de parches en la errata de la 7.8, útil para comprobar qué llevas aplicado.