Volver al Blog
Ciberseguridad 8 de mayo de 2026 5 min read

CVE-2026-23918: RCE en Apache HTTP Server 2.4.66 vía Doble Liberación en HTTP/2 — Actualiza a 2.4.67 Ya

Un fallo CWE-415 de doble liberación en mod_http2 permite a atacantes no autenticados provocar DoS en cualquier instalación de Apache y RCE completo en despliegues basados en Debian y Docker. Actualiza a 2.4.67 de inmediato.

CVE-2026-23918: RCE en Apache HTTP Server 2.4.66 vía Doble Liberación en HTTP/2 — Actualiza a 2.4.67 Ya

Apache publicó el parche para CVE-2026-23918 el 4 de mayo de 2026, lanzando la versión 2.4.67 para corregir un fallo de corrupción de memoria con CVSS 8.8 que permite ejecución remota de código sin autenticación en las distribuciones Linux más populares y en la imagen Docker oficial.

En qué consiste. La vulnerabilidad reside en la ruta de limpieza de streams de mod_http2, concretamente en h2_mplx.c. Es un caso clásico de CWE-415 (doble liberación): cuando un cliente HTTP/2 envía un frame HEADERS inmediatamente seguido de un frame RST_STREAM con código de error distinto de cero, antes de que el stream haya sido registrado por el multiplexor, el servidor libera la misma región de memoria dos veces. Esta condición se puede provocar de forma fiable con un único par de peticiones manipuladas.

A quién afecta. Apache HTTP Server 2.4.66 con mod_http2 cargado, que está habilitado por defecto en la mayoría de despliegues modernos. Solo el MPM prefork queda fuera del alcance; los MPM worker y event, que cubren la gran mayoría de servidores en producción, son vulnerables.

El vector de RCE. En configuraciones básicas, la doble liberación produce un crash: una denegación de servicio fiable pero nada más. El escenario cambia en sistemas derivados de Debian y en la imagen Docker oficial de Apache, que emplean el asignador mmap del Apache Portable Runtime. El layout de memoria predecible de ese asignador permite que el bloque liberado sea reclamado y sobreescrito por una segunda petición antes de que se complete la segunda liberación, otorgando al atacante una primitiva de escritura arbitraria. Los investigadores de striga.ai e isec.pl, que descubrieron el fallo en diciembre pasado, confirmaron un exploit funcional que logra RCE sin credenciales en Debian 12 + Apache 2.4.66 + Docker. A fecha de 5 de mayo no se había confirmado explotación activa en la naturaleza, pero ese margen se reducirá rápidamente.

Desglose de gravedad:

  • CVSS 3.1 Base Score: 8.8 (Alto)
  • Vector de ataque: Red / Sin autenticación
  • Impacto: Confidencialidad — Alto, Integridad — Alto, Disponibilidad — Alto
  • MPM prefork: solo DoS (sin vector de RCE)
  • Worker/Event MPM en Debian o Docker: RCE

La solución es directa: actualizar a 2.4.67. Apache publicó el lanzamiento el 4 de mayo junto a dos parches de menor severidad. La mayoría de gestores de paquetes ya han distribuido la actualización.

# Debian / Ubuntu
apt update && apt install apache2

# RHEL / CentOS / Fedora
dnf update httpd

# Docker — descargar la imagen oficial más reciente
docker pull httpd:latest

Tras la actualización, verifica con apache2 -v o httpd -v. Si una actualización inmediata no es posible, desactivar mod_http2 mediante a2dismod http2 y reiniciar Apache elimina la ruta de código vulnerable, a costa de perder soporte HTTP/2.

El fallo fue reportado por Bartlomiej Dmitruk de striga.ai y Stanislaw Strzalkowski de isec.pl. El aviso completo de Apache y las notas de la versión 2.4.67 están disponibles en apache.org/security/vulnerabilities_24.html.

Cualquier instancia de Apache expuesta a internet, ejecutando MPM worker o event sobre Debian o Docker y sin el parche aplicado, debe tratarse como una remediación prioritaria para hoy.

apache cve security rce http2