Apache Software Foundation ha publicado una actualización de seguridad para Apache HTTP Server que corrige la vulnerabilidad crítica CVE-2026-23918 (CVSS 8.8), un error de tipo double-free en el módulo mod_http2, que permite a un atacante provocar una denegación de servicio y, bajo determinadas condiciones, lograr la ejecución remota de código. Se ve afectada la versión 2.4.66; la corrección está disponible en la versión 2.4.67. Teniendo en cuenta que mod_http2 viene habilitado en las compilaciones estándar de Apache y que HTTP/2 se utiliza ampliamente en entornos de producción, la superficie de ataque potencial es muy amplia.

Esencia técnica de la vulnerabilidad

Según la entrada en NVD, CVE-2026-23918 es una vulnerabilidad double-free en el procesamiento del protocolo HTTP/2. De acuerdo con los investigadores que descubrieron el problema, el fallo está localizado en la ruta de limpieza de flujos en el archivo h2_mplx.c.

Según se indica, el mecanismo de activación es el siguiente: el cliente envía un frame HTTP/2 HEADERS, seguido inmediatamente de un RST_STREAM con un código de error distinto de cero sobre el mismo flujo, antes de que el multiplexor tenga tiempo de registrar el flujo. Como resultado, dos callbacks de nghttp2 (on_frame_recv_cb y on_stream_close_cb) invocan secuencialmente la misma función de limpieza, introduciendo el mismo puntero h2_stream dos veces en el array de limpieza. En la iteración posterior sobre el array, la segunda llamada a apr_pool_destroy accede a memoria que ya había sido liberada.

Dos escenarios de explotación

Los investigadores describen dos posibles impactos:

• Denegación de servicio (DoS): según los investigadores, se puede lograr de forma trivial: basta con una única conexión TCP y dos frames, sin autenticación ni cabeceras especiales. El proceso worker de Apache termina de forma anómala; aunque el servidor lo reinicia, se pierden todas las peticiones que estaban siendo procesadas por ese proceso. El ataque puede mantenerse de forma continua. Se presume que este vector funciona en cualquier despliegue estándar con mod_http2 y un modelo MPM multihilo.
• Ejecución remota de código (RCE): según se informa, los investigadores desarrollaron un proof-of-concept funcional en arquitectura x86_64. La cadena de explotación presumiblemente utiliza una reasignación de memoria mediante mmap para ubicar una estructura falsa h2_stream en la dirección virtual liberada, redirigiendo el puntero de la función de limpieza del pool hacia system(). De acuerdo con los investigadores, la memoria scoreboard de Apache se utiliza como contenedor estable para las estructuras falsas y la cadena de comandos, ya que se ubica en una dirección fija durante todo el tiempo de ejecución del servidor incluso con ASLR activado.

Importante aclaración: los detalles de la cadena de explotación RCE se basan en las declaraciones de los investigadores y no han sido verificados de forma independiente a través del boletín oficial de Apache. Los propios investigadores señalan que la explotación práctica de RCE requiere una fuga de información para determinar las direcciones de system() y los desplazamientos del scoreboard, y que la técnica de heap spray tiene un carácter probabilístico. No obstante, afirman que en condiciones de laboratorio la ejecución de código se logra en cuestión de minutos.

Configuraciones afectadas y alcance

La vulnerabilidad afecta a Apache HTTP Server 2.4.66 con el módulo mod_http2 habilitado. Según los investigadores, la vía de explotación RCE requiere Apache Portable Runtime (APR) con el asignador mmap, que presumiblemente se utiliza por defecto en sistemas basados en Debian y en la imagen oficial de Docker de httpd.

Según se indica, el modelo MPM prefork no es vulnerable, mientras que los modelos MPM multihilo (event, worker), que son el estándar en despliegues modernos, están en la zona de riesgo.

En el momento de la publicación, CVE-2026-23918 no se ha incluido en el catálogo CISA KEV, y no hay datos confirmados sobre explotación activa in-the-wild. El estado de explotación es desconocido.

Evaluación del impacto

Apache HTTP Server sigue siendo uno de los servidores web más extendidos del mundo. La combinación de varios factores hace que esta vulnerabilidad sea especialmente relevante:

• El módulo mod_http2 viene habilitado en las compilaciones estándar de Apache
• HTTP/2 se utiliza de forma intensiva en entornos de producción
• El vector DoS no requiere autenticación y se ejecuta con un número mínimo de paquetes de red
• La puntuación CVSS de 8.8 indica una criticidad alta

Las organizaciones con mayor riesgo son aquellas que utilizan Apache HTTP Server 2.4.66 con HTTP/2 en servicios expuestos públicamente: alojamiento web, nodos de CDN, servidores proxy inversos y API gateways.

Recomendaciones de mitigación

1. Actualice Apache HTTP Server a la versión 2.4.67: es la medida principal para eliminar la vulnerabilidad.
2. Si no es posible actualizar de inmediato, valore la desactivación temporal de mod_http2 comentando la directiva LoadModule http2_module en la configuración del servidor. Esto eliminará el vector de ataque a costa de prescindir de HTTP/2.
3. Compruebe el modelo MPM en uso: el comando apachectl -V | grep MPM mostrará la configuración actual. Según los investigadores, prefork no es vulnerable; sin embargo, esto no está confirmado por el boletín oficial del proveedor.
4. Monitorización: supervise las terminaciones anómalas de procesos worker de Apache y los picos de conexiones HTTP/2 con reseteo inmediato de flujos, ya que podrían indicar intentos de explotación del vector DoS.

Teniendo en cuenta la puntuación CVSS 8.8 y la trivialidad de la explotación DoS, la actualización a Apache HTTP Server 2.4.67 debe abordarse con carácter prioritario. Se recomienda que las organizaciones que operan instancias públicas de Apache con HTTP/2 realicen la actualización en los próximos días, sin esperar a que aparezcan casos confirmados de explotación in-the-wild. Los detalles de la vulnerabilidad están disponibles en la entrada NVD de CVE-2026-23918.