pache Software Foundation ha publicado una
actualización de seguridad crítica
para el servidor Apache HTTP, que parchea cinco vulnerabilidades, incluida
una peligrosa falla de doble liberación capaz de permitir la ejecución
remota de código (RCE).
Se recomienda encarecidamente a todos los usuarios que ejecuten la versión
2.4.66 o anterior que actualicen de inmediato.
La más grave de las cinco vulnerabilidades es
CVE-2026-23918, calificada como Alta con una puntuación base CVSS de 8,8. La falla es un
error de corrupción de memoria de doble liberación que se activa dentro de la
implementación del protocolo HTTP/2 de Apache durante una secuencia de
«restablecimiento temprano de la transmisión».
Una vulnerabilidad de doble liberación ocurre cuando un programa intenta
liberar la misma región de memoria dos veces, lo que corrompe las estructuras
de la memoria del montón y, en este caso, potencialmente permite a un atacante
redirigir el flujo de ejecución, abriendo la puerta a la ejecución remota de
código.
Esta vulnerabilidad afecta exclusivamente al servidor Apache HTTP versión
2.4.66
y fue reportada por primera vez al equipo de seguridad de Apache el 10 de
diciembre de 2025 por Bartlomiej Dmitruk de striga.ai y Stanislaw Strzalkowski
de isec.pl. El parche público se envió en la versión 2.4.67 el 4 de mayo de
2026.
Una segunda falla,
CVE-2026-24072, está clasificada como Moderada y apunta al uso de mod_rewrite de la
evaluación de expresiones ap_expr. La vulnerabilidad permite a los
autores locales de .htaccess leer archivos arbitrarios con los
privilegios del usuario httpd, lo que permite de manera efectiva una
escalamiento de privilegios más allá de su nivel de acceso previsto.
Este error afecta al servidor Apache HTTP 2.4.66 y versiones anteriores y fue
informado el 20 de enero de 2026 por el investigador y7syeu.
Vulnerabilidades adicionales parcheadas
También se abordaron otras tres fallas de menor gravedad en la misma
actualización 2.4.67:
-
CVE-2026-28780: desbordamiento del búfer basado en mod_proxy_ajp. Informado de
forma independiente por cuatro investigadores entre febrero y marzo de 2026. -
CVE-2026-29168: una vulnerabilidad de asignación de recursos sin límites en el
controlador de respuesta OCSP de mod_md. Afecta a las versiones
2.4.30 a 2.4.66, según informó Pavel Kohout de Aisle Research el 2 de marzo
de 2026. -
CVE-2026-29169: una desreferencia de puntero NULL en mod_dav_lock que permite a un
atacante bloquear el servidor mediante una solicitud creada con fines
malintencionados. Como mitigación, los administradores que no puedan
actualizar inmediatamente pueden simplemente eliminar mod_dav_lock.
Fuente:
CyberSecurtiyNews