L’equip de seguretat de FreeBSD va publicar el 29 d’abril de 2026 l’avís FreeBSD-SA-26:13.exec, que corregeix un error al cor del sistema: la crida execve(2), la que fa servir el kernel per carregar i executar qualsevol programa. L’identificador és CVE-2026-7270 i la puntuació CVSS és 7.8.
L’origen del problema és dels que fan ràbia per petits. Un error de precedència d’operadors al codi del kernel fa que una expressió s’avaluï en un ordre diferent del previst. La conseqüència és un desbordament de buffer: dades que controla l’atacant acaben sobreescrivint els buffers d’arguments adjacents que execve(2) prepara quan engega un executable. A partir d’aquí, manipulant amb cura els arguments que passes a la crida, un usuari sense privilegis pot corrompre memòria del kernel i acabar amb privilegis de superusuari.
A qui afecta
A totes les versions amb suport de FreeBSD en el moment de l’avís. En concret, les branques 13.5, 14.3, 14.4 i 15.0, tant en les variants RELEASE com STABLE. No és un problema d’una configuració estranya ni d’un servei opcional: execve(2) s’executa cada cop que arrenques un binari, així que la superfície afectada és el funcionament normal del sistema.
Val la pena matisar el risc real. L’error necessita accés local. Un atacant ha de poder iniciar sessió o executar codi a la màquina amb un compte, encara que sigui sense permisos. No s’explota en remot directament. Això sí, en qualsevol servidor multiusuari, en hosting compartit o en una màquina on un servei compromès corre amb un usuari sense privilegis, això converteix un accés limitat en control total del sistema. Per això es classifica com a alta.
Com protegir-te
No hi ha mitigació ni workaround. L’única sortida és aplicar el pedaç i reiniciar, perquè la correcció és al kernel. Les versions corregides, totes del 29 d’abril de 2026, són:
- 15.0-STABLE i 15.0-RELEASE-p7
- 14.4-STABLE i 14.4-RELEASE-p3
- 14.3-RELEASE-p12
- 13.5-STABLE i 13.5-RELEASE-p13
Si vas instal·lar el sistema base amb paquets, actualitza amb pkg. Si fas servir la distribució binària habitual, el camí més directe és:
freebsd-update fetch
freebsd-update install
rebootQui compili des de codi font haurà d’aplicar el pedaç corresponent i recompilar el kernel. En els tres casos el reinici és obligatori: fins que el kernel nou estigui en marxa, la màquina continua sent vulnerable.
Si gestiones appliances o productes de tercers muntats sobre FreeBSD, revisa els avisos del fabricant. Diversos proveïdors que fan servir FreeBSD com a base van publicar les seves pròpies actualitzacions arran d’aquest CVE, i el kernel pedaçat ha d’arribar pel seu canal, no per freebsd-update sense més.
Font
- Avís oficial: FreeBSD Security Advisory FreeBSD-SA-26:13.exec
- Detall del CVE: CVE-2026-7270 a NVD