Apache Software Foundation ha publicado una actualización de seguridad crítica para el servidor Apache HTTP, que parcha cinco vulnerabilidades, incluida una peligrosa falla de doble liberación capaz de permitir la ejecución remota de código (RCE).
Se recomienda encarecidamente a todos los usuarios que ejecuten la versión 2.4.66 o anterior que actualicen de inmediato.
La más grave de las cinco vulnerabilidades es CVE-2026-23918, calificada como Alta con una puntuación base CVSS de 8,8. La falla es un error de corrupción de memoria de doble liberación que se activa dentro de la implementación del protocolo HTTP/2 de Apache durante una secuencia de «restablecimiento temprano de la transmisión».
Una vulnerabilidad de doble liberación ocurre cuando un programa intenta liberar la misma región de memoria dos veces, lo que corrompe las estructuras de la memoria del montón y, en este caso, potencialmente permite a un atacante redirigir el flujo de ejecución, abriendo la puerta a la ejecución remota de código.
Esta vulnerabilidad afecta exclusivamente al servidor Apache HTTP versión 2.4.66 y fue reportada por primera vez al equipo de seguridad de Apache el 10 de diciembre de 2025 por Bartlomiej Dmitruk de striga.ai y Stanislaw Strzalkowski de isec.pl. El parche público se envió en la versión 2.4.67 el 4 de mayo de 2026.
Una segunda falla, CVE-2026-24072, está clasificada como Moderada y apunta al uso de mod_rewrite de la evaluación de expresiones ap_expr. La vulnerabilidad permite a los autores locales de .htaccess leer archivos arbitrarios con los privilegios del usuario httpd, lo que permite de manera efectiva una escalamiento de privilegios más allá de su nivel de acceso previsto.
Este error afecta al servidor Apache HTTP 2.4.66 y versiones anteriores y fue informado el 20 de enero de 2026 por el investigador y7syeu.
Vulnerabilidades adicionales parchadas
También se abordaron otras tres fallas de menor gravedad en la misma actualización 2.4.67:
- CVE-2026-28780: desbordamiento del búfer basado en mod_proxy_ajp. Informado de forma independiente por cuatro investigadores entre febrero y marzo de 2026.
- CVE-2026-29168: una vulnerabilidad de asignación de recursos sin límites en el controlador de respuesta OCSP de mod_md. Afecta a las versiones 2.4.30 a 2.4.66, según informó Pavel Kohout de Aisle Research el 2 de marzo de 2026.
- CVE-2026-29169: una desreferencia de puntero NULL en mod_dav_lock que permite a un atacante bloquear el servidor mediante una solicitud creada con fines malintencionados. Como mitigación, los administradores que no puedan actualizar inmediatamente pueden simplemente eliminar mod_dav_lock.
Fuente y redacción: segu-info.com.ar