Seguir 
Apache ha parcheado CVE-2026-23918, una falla crítica en el manejo de HTTP/2 del servidor HTTP de Apache que Apache describe como un “doble liberar y posible RCE”. El problema afecta al servidor HTTP de Apache 2.4.66 y se corrigió en la versión 2.4.67, publicada el 4 de mayo de 2026.
La vulnerabilidad CVE-2026-23918 es importante porque puede ser explotada remotamente y sin autenticación. Los reportes públicos dicen que el error puede causar una condición de denegación de servicio y, bajo ciertas condiciones, también puede abrir un camino para la ejecución remota de código, convirtiéndola en una de las cuestiones más serias abordadas en la última versión de seguridad de Apache.
Apache acredita a Bartlomiej Dmitruk de striga.ai y Stanislaw Strzalkowski de isec.pl por reportar la falla. La propia página de vulnerabilidades de Apache muestra que fue reportada al equipo de seguridad el 10 de diciembre de 2025, corregida en la fuente el 11 de diciembre de 2025 y enviada a los usuarios en la versión 2.4.67 meses después.
Análisis de CVE-2026-23918
Según Apache y los comentarios de los investigadores citados por The Hacker News, el error es un doble liberar en mod_http2, específicamente en la ruta de limpieza de streams. Puede activarse cuando un cliente envía un frame HEADERS de HTTP/2 y luego envía inmediatamente RST_STREAM con un código de error distinto de cero antes de que el stream esté completamente registrado por el multiplexor.
Esa secuencia puede causar que dos callbacks se ejecuten de una manera que empuja el mismo objeto de stream en el arreglo de limpieza dos veces. Cuando Apache posteriormente destruye las entradas del stream, la memoria que ya ha sido liberada se libera de nuevo. En términos prácticos, la vulnerabilidad en CVE-2026-23918 es un fallo de gestión de memoria que puede hacer que los procesos trabajadores se bloqueen y, en el entorno adecuado, convertirse en una ejecución de código.
El camino de denegación de servicio parece ser el resultado más fácil. Los investigadores dijeron a The Hacker News que una conexión TCP y dos frames HTTP/2 son suficientes para bloquear un trabajador en implementaciones por defecto que usan mod_http2 con un MPM multihilo. También mencionaron que el MPM prefork no está afectado, mientras que el posible camino de RCE depende de una configuración APR usando el asignador mmap, que se dice que es el predeterminado en sistemas derivados de Debian y en la imagen oficial de Docker de httpd.
En cuanto a la madurez de explotación, los reportes públicos dicen que los investigadores construyeron un poc (prueba de concepto) funcional para CVE-2026-23918 para x86_64 en condiciones de laboratorio. También mencionaron que la explotación práctica todavía necesita condiciones favorables como una fuga de información y una reutilización favorable de la memoria, por lo que la ejecución de código es más exigente que la simple interrupción del servicio.
En esta etapa, los detalles públicos de CVE-2026-23918 apuntan mucho más claramente a bloqueos de procesos e inestabilidad de los trabajadores que a un RCE reproducible ampliamente en el campo. Tampoco hay iocs de CVE-2026-23918 publicadas por el proveedor, por lo que los defensores deben centrarse en la exposición de versiones, bloqueos inesperados de trabajadores y patrones de reinicio sospechosos de HTTP/2 en lugar de en un conjunto de firmas estable.
Mitigación de CVE-2026-23918
La corrección principal es actualizar el servidor HTTP de Apache de 2.4.66 a 2.4.67. El aviso de seguridad de Apache recomienda explícitamente moverse a la versión parcheada, y SecurityWeek señala que la versión corrige 11 vulnerabilidades, incluyendo este problema crítico de HTTP/2.
Para un triaje inmediato, los defensores deben identificar sistemas con acceso a internet donde mod_http2 esté habilitado y donde se usen MPMs con hilos. Esa es la manera más práctica de detectar la exposición a CVE-2026-23918 porque el ataque se centra en el manejo de solicitudes HTTP/2, no en un artefacto de malware descartado o beacon de post-explotación tradicional.
Si el parcheo de emergencia se retrasa, reducir la exposición al tráfico HTTP/2 puede ayudar a reducir la superficie de ataque hasta que se apliquen las actualizaciones. La carga útil de CVE-2026-23918 descrita públicamente no es un archivo o binario convencional, sino una secuencia elaborada de frames HTTP/2 diseñada para forzar la ruta de limpieza defectuosa, por lo que las instancias de Apache con acceso a la red deben ser priorizadas primero.
Desde una perspectiva de riesgo, CVE-2026-23918 afecta a organizaciones que dependen del servidor HTTP de Apache 2.4.66 para cargas de trabajo web públicas, especialmente donde HTTP/2 está habilitado por defecto o ampliamente desplegado por razones de rendimiento. Esto incluye servidores web estándar basados en Linux así como implementaciones en contenedores que usan la imagen oficial de Apache.
FAQ
¿Qué es CVE-2026-23918 y cómo funciona?
Es un fallo crítico de doble liberación en el manejo de HTTP/2 del servidor HTTP de Apache. Una secuencia de tiempo especialmente programada de frames HTTP/2 puede empujar el mismo objeto de stream en la limpieza dos veces, llevando a bloqueos de trabajadores y potencialmente habilitando la ejecución remota de código en condiciones favorables.
¿Cuándo se descubrió por primera vez CVE-2026-23918?
La página de vulnerabilidades de Apache dice que el problema fue reportado al equipo de seguridad el 10 de diciembre de 2025. La corrección aterrizó en la fuente el 11 de diciembre de 2025 y la versión parcheada 2.4.67 fue publicada el 4 de mayo de 2026.
¿Cuál es el impacto de CVE-2026-23918 en los sistemas?
El impacto más inmediato es la denegación de servicio a través del bloqueo de trabajadores de Apache. Los reportes públicos también dicen que el fallo puede permitir la ejecución remota de código, aunque ese camino parece más complejo y dependiente del entorno que el escenario de bloqueos.
¿Puede CVE-2026-23918 aún afectarme en 2026?
Sí. Los sistemas pueden seguir estando expuestos en 2026 si están ejecutando Apache HTTP Server 2.4.66 con mod_http2 habilitado y aún no se han actualizado a 2.4.67. El riesgo es especialmente relevante para implementaciones que usan MPMs con hilos.
¿Cómo puedo protegerme de CVE-2026-23918?
Actualice a Apache HTTP Server 2.4.67 lo antes posible, identifique implementaciones expuestas con habilitación HTTP/2, y priorice los servidores con acceso externo para su remediación. Donde no sea posible realizar el patching de inmediato, reducir la exposición HTTP/2 puede ayudar a bajar el riesgo a corto plazo.
