El equipo de seguridad de FreeBSD publicó el 29 de abril de 2026 el aviso FreeBSD-SA-26:13.exec, que corrige un fallo en el corazón del sistema: la llamada execve(2), la que usa el kernel para cargar y ejecutar cualquier programa. El identificador es CVE-2026-7270 y la puntuación CVSS es 7.8.
El origen del problema es de los que duelen por lo pequeños. Un error de precedencia de operadores en el código del kernel hace que una expresión se evalúe en un orden distinto al previsto. La consecuencia es un desbordamiento de buffer: datos que controla el atacante terminan sobrescribiendo los buffers de argumentos adyacentes que execve(2) prepara al lanzar un ejecutable. A partir de ahí, manipulando con cuidado los argumentos que pasas a la llamada, un usuario sin privilegios puede corromper memoria del kernel y acabar con privilegios de superusuario.
A quién afecta
A todas las versiones soportadas de FreeBSD en el momento del aviso. En concreto, las ramas 13.5, 14.3, 14.4 y 15.0, tanto en sus variantes RELEASE como STABLE. No es un problema de una configuración rara ni de un servicio opcional: execve(2) se ejecuta cada vez que arrancas un binario, así que la superficie afectada es el funcionamiento normal del sistema.
Conviene matizar el riesgo real. El fallo necesita acceso local. Un atacante tiene que poder iniciar sesión o ejecutar código en la máquina con una cuenta, aunque sea sin permisos. No se explota en remoto sin más. Eso sí, en cualquier servidor multiusuario, en hosting compartido o en una máquina donde un servicio comprometido corra con un usuario sin privilegios, esto convierte un acceso limitado en control total del sistema. Por eso se clasifica como alta.
Cómo protegerte
No hay mitigación ni workaround. La única salida es aplicar el parche y reiniciar, porque el arreglo está en el kernel. Las versiones corregidas, todas del 29 de abril de 2026, son:
- 15.0-STABLE y 15.0-RELEASE-p7
- 14.4-STABLE y 14.4-RELEASE-p3
- 14.3-RELEASE-p12
- 13.5-STABLE y 13.5-RELEASE-p13
Si instalaste el sistema base con paquetes, actualiza con pkg. Si usas la distribución binaria habitual, lo más directo es:
freebsd-update fetch
freebsd-update install
rebootQuien compile desde fuentes tendrá que aplicar el parche correspondiente y recompilar el kernel. En los tres casos el reinicio es obligatorio: hasta que el kernel nuevo esté en marcha, la máquina sigue siendo vulnerable.
Si gestionas appliances o productos de terceros montados sobre FreeBSD, revisa los avisos del fabricante. Varios proveedores que usan FreeBSD como base publicaron sus propias actualizaciones a raíz de este CVE, y el kernel parcheado tiene que llegar por su canal, no por freebsd-update a secas.
Fuente
- Aviso oficial: FreeBSD Security Advisory FreeBSD-SA-26:13.exec
- Detalle del CVE: CVE-2026-7270 en NVD