El proyecto OpenBSD publicó el 9 de febrero de 2026 un parche de seguridad. Llega como errata 014 para OpenBSD 7.8, con su errata equivalente para 7.7, y arregla dos vulnerabilidades de denegación de servicio en libexpat, la biblioteca de análisis de XML que también conocerás como Expat. Los dos fallos se corrigieron de raíz en la versión libexpat 2.7.4, que el mantenedor del proyecto, Sebastian Pipping, publicó el 31 de enero de 2026.
Qué son las vulnerabilidades
Este parche cubre dos fallos:
- CVE-2026-24515: una desreferencia de puntero NULL (CWE-476). El problema está en la función
XML_ExternalEntityParserCreate, que no copia bien los datos de usuario asociados al manejador de codificaciones desconocidas. Si un parser padre tiene registrado un manejador de codificación desconocida con datos de usuario, la función crea un nuevo parser para procesar entidades externas pero no le pasa el puntero a esos datos al parser hijo. Cuando luego se invoca el manejador con un puntero NULL o sin inicializar, la aplicación se puede caer. - CVE-2026-25210: un desbordamiento de entero (CWE-190) en libexpat que también acaba en una posible denegación de servicio.
A quién afecta
Afecta a cualquier programa que use libexpat para analizar XML en versiones anteriores a la 2.7.4. Expat es una de las bibliotecas de parsing de XML más extendidas del software libre, y la encontrarás integrada en muchos lenguajes, navegadores y utilidades. En este aviso concreto, OpenBSD distribuye libexpat dentro del sistema base, así que la errata corrige el componente para todos los programas que dependen de él en OpenBSD 7.7 y 7.8.
Gravedad
La gravedad es baja a media. El CVE principal, CVE-2026-24515, recibió una puntuación CVSS v3.1 muy reducida (en torno a 2.5-2.9, calificada como baja tanto por NIST como por MITRE), porque hace falta un vector de acceso local, alta complejidad de ataque y no entran en juego privilegios ni interacción del usuario de forma trivial. El impacto se queda en la disponibilidad: el proceso afectado se cierra de golpe al procesar entrada XML manipulada. No hay ejecución de código ni filtración de datos, y nadie ha visto exploits en uso real. Aun así, si tienes servicios que procesan XML de fuentes que no controlas, un fallo de disponibilidad cuenta.
Mitigación y parche
La recomendación es clara: actualiza libexpat a la versión 2.7.4 o posterior. En OpenBSD basta con aplicar la errata mediante la herramienta de actualización de parches:
syspatchLos parches de errata están disponibles para las arquitecturas habituales de OpenBSD. Una vez aplicados conviene reiniciar los servicios que enlacen contra libexpat para que carguen la biblioteca corregida. En otras distribuciones, la solución pasa por instalar la actualización del paquete expat/libexpat que ya traiga la versión 2.7.4.
Si quieres ver cómo OpenBSD endurece su sistema base frente a esta clase de fallos, échale un ojo a la ficha de OpenBSD en nuestro directorio de sistemas operativos.
Fuente
- Aviso oficial: OpenBSD 7.8 Errata
- Detalle del CVE: CVE-2026-24515 en NVD
- CVE relacionado: CVE-2026-25210 en NVD