Seguridad

CVE-2026-23918: La falla en Apache HTTP/2 que podría entregarle tu servidor a un atacante

Por Solvanta Blogger  ·  mayo 7, 2026  ·  5 min de lectura

CVE-2026-23918: La falla en Apache HTTP/2 que podría entregarle tu servidor a un atacante

Si estás ejecutando Apache HTTP Server versión 2.4.66, necesitas actuar ahora mismo. Una vulnerabilidad de corrupción de memoria de doble liberación —CVE-2026-23918, calificada con CVSS 8.8 (Alto)— en el módulo mod_http2 de Apache puede ser explotada por un atacante remoto para provocar una Denegación de Servicio y, bajo configuraciones comunes, lograr Ejecución Remota de Código (RCE) completa.

¿Qué es la vulnerabilidad?

CVE-2026-23918 es un bug de doble liberación dentro de h2_mplx.c, el multiplexor de flujos en el módulo HTTP/2 de Apache. La falla reside en la ruta de código de limpieza de flujos y se activa con una secuencia específica de frames HTTP/2:

  1. El cliente envía un frame HTTP/2 HEADERS para iniciar una solicitud.
  2. Antes de que el flujo quede completamente registrado internamente, el cliente envía inmediatamente un frame RST_STREAM con un código de error distinto de cero.

Esta secuencia similar a una condición de carrera hace que Apache intente liberar la misma región de memoria dos veces —una doble liberación clásica que corrompe el heap del proceso—. En el mejor caso para el atacante, esto bloquea el proceso worker de Apache (DoS). En el peor caso, conduce a ejecución de código arbitrario.

¿Quién está afectado?

Esta vulnerabilidad afecta exclusivamente a Apache httpd 2.4.66. Todas las demás versiones de Apache no están afectadas. Si estás en la versión 2.4.65 o anterior, o si ya actualizaste a 2.4.67, estás a salvo.

Sin embargo, dentro de esa única versión afectada:

  • Denegación de Servicio: cualquier instalación con mod_http2 habilitado es trivialmente vulnerable. Un atacante con acceso a internet puede bloquear de manera confiable los procesos worker de Apache.
  • Ejecución Remota de Código: el RCE es posible cuando Apache está compilado contra APR (Apache Portable Runtime) con el asignador mmap. Esta es la configuración predeterminada en sistemas basados en Debian (incluyendo Ubuntu) y en la imagen Docker oficial de Apache. Si estás ejecutando Apache 2.4.66 en un contenedor o en un host Debian/Ubuntu, asume que estás en la categoría de riesgo RCE.

¿Qué tan grave es la ejecución remota de código aquí?

Significa compromiso total del servidor. Un atacante que explote la ruta RCE puede ejecutar código arbitrario con los privilegios del proceso Apache (comúnmente www-data en sistemas Debian). Desde allí puede:

  • Leer código fuente de aplicaciones, archivos de configuración y credenciales de base de datos
  • Plantar web shells para acceso backdoor persistente
  • Pivotar hacia recursos de la red interna
  • Escalar privilegios usando un exploit local secundario

Dado que HTTP/2 está habilitado por defecto en la mayoría de las configuraciones modernas de Apache, no se requiere ninguna configuración inusual del lado de la víctima.

Cómo solucionarlo

Solución principal: actualiza a Apache 2.4.67, que contiene la lógica de limpieza de flujos corregida. Esta es la única solución completa.

Si una actualización inmediata no es posible, aplica esta mitigación provisional en tu configuración de Apache:

  • Desactiva HTTP/2 eliminando o comentando la directiva Protocols h2 http/1.1 (o configurando explícitamente Protocols http/1.1). Esto elimina por completo la superficie de ataque hasta que puedas realizar la actualización. Ten en cuenta que esto reducirá el rendimiento para los clientes que soportan HTTP/2.

Verifica tu versión de Apache:

  • apache2 -v (Debian/Ubuntu)
  • httpd -v (RHEL/CentOS)

Si el resultado muestra 2.4.66, trátalo como una emergencia y actúa de inmediato.

Alcance reducido, severidad alta

El alcance limitado a una sola versión (solo 2.4.66) es afortunado, pero no reduce la urgencia para quienes están afectados. Apache 2.4.66 fue lanzado como una actualización recomendada y tuvo una adopción significativa. Si tu infraestructura usa gestión automatizada de dependencias o pulls de imágenes Docker, es posible que la hayas incorporado sin darte cuenta. Audita tus servidores y contenedores ahora.

En Solvanta ayudamos a las empresas a mantener su infraestructura protegida y segura, incluyendo el hardening de servidores web, escaneo de vulnerabilidades y respuesta rápida a parches. Si no estás seguro de si tu instalación de Apache está en riesgo o necesitas ayuda para gestionar tu proceso de actualización, contáctanos.

← Back to Blog