Una única petición puede tumbar un servidor — no es clickbait, es una vulnerabilidad en Apache.
Apache lanza una actualización urgente a la versión 2.4.67: esto es lo que debes hacer ahora mismo
En el popular servidor web Apache se encontró una vulnerabilidad que permite tomar el control del sistema. El problema ya fue corregido, pero es necesario actualizar lo antes posible.
La fundación Apache Software Foundation publicó una actualización para Apache HTTP Server a la versión 2.4.67. Los desarrolladores corrigieron cinco vulnerabilidades, entre las cuales la más peligrosa puede permitir la ejecución remota de código. A quienes usan la versión 2.4.66 y anteriores se les recomienda instalar la actualización de inmediato.
El problema principal recibió el identificador CVE-2026-23918 y una puntuación de 8,8 en la escala CVSS. La vulnerabilidad está relacionada con un error de doble liberación de memoria en la implementación del protocolo HTTP/2. El fallo se produce en un escenario específico de reinicio de la conexión. Como resultado, la estructura de la memoria se corrompe y un atacante puede interferir en la ejecución del programa y ejecutar código arbitrario en el servidor. El error afecta solo a la versión 2.4.66. Fue informado en diciembre de 2025. La corrección se preparó al día siguiente, pero se incluyó en el lanzamiento público solo ahora.
La segunda vulnerabilidad, CVE-2026-24072, recibió un nivel de gravedad medio. El problema reside en el módulo mod_rewrite, que se encarga de procesar las reglas de redirección. Un usuario con acceso a los archivos .htaccess puede leer cualquier archivo en el servidor con los permisos del proceso httpd. En la práctica se trata de una elevación de privilegios. El error afecta a las versiones hasta la 2.4.66 inclusive.
Las otras tres vulnerabilidades son menos peligrosas, pero también preocupantes. Una permite sobrescribir parte de la memoria a través del módulo mod_proxy_ajp al conectarse a un servidor malicioso. Otra permite sobrecargar el servidor enviando una respuesta de verificación de certificado demasiado grande al módulo mod_md. La tercera está relacionada con la desreferencia de un puntero nulo en mod_dav_lock y permite derribar el servidor con una petición especialmente formada.
Los desarrolladores aconsejan no posponer la actualización. La versión 2.4.67 corrige todos los problemas detectados. Si no es posible actualizar de inmediato, conviene al menos desactivar temporalmente HTTP/2 y quitar el módulo mod_dav_lock si no se usa. También es recomendable revisar los permisos de .htaccess para reducir el riesgo de explotación de la segunda vulnerabilidad.