CVE-2026-24072: Escalation de Privilegios en Apache HTTP Server
Plataforma
apache
Componente
apache-http-server
Corregido en
2.4.67
Se ha descubierto una vulnerabilidad de escalación de privilegios en Apache HTTP Server, afectando a las versiones desde 2.4.0 hasta 2.4.66. Esta falla permite a usuarios locales con acceso a archivos .htaccess leer archivos con los privilegios del usuario httpd, lo que podría resultar en la exposición de información confidencial. La versión 2.4.67 corrige esta vulnerabilidad y se recomienda su implementación.
Impacto y Escenarios de Ataque
La vulnerabilidad permite a un atacante con la capacidad de modificar archivos .htaccess en un directorio servido por Apache HTTP Server, leer archivos que normalmente estarían fuera de su alcance. Esto podría incluir archivos de configuración, archivos de registro, o incluso archivos de código fuente que contengan credenciales o información sensible. El atacante podría, por ejemplo, leer el archivo de configuración de la base de datos para obtener credenciales de acceso. El alcance del impacto depende de los permisos del usuario httpd y de la ubicación de los archivos accesibles a través de esta vulnerabilidad. Aunque requiere acceso local al sistema, la facilidad de modificación de archivos .htaccess en muchos entornos web la convierte en un riesgo significativo.
Contexto de Explotación
La vulnerabilidad fue publicada el 4 de mayo de 2026. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera moderada, dado que requiere acceso local al sistema y la necesidad de modificar archivos .htaccess. No se encuentra en la lista KEV. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.06% (19% percentil)
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar Apache HTTP Server a la versión 2.4.67 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a archivos .htaccess, limitando su uso a directorios específicos y esenciales. Además, se puede implementar un Web Application Firewall (WAF) para detectar y bloquear intentos de explotación, aunque esto no es una solución completa. Revise los permisos del usuario httpd para asegurar que tenga el mínimo privilegio necesario para operar. Tras la actualización, verifique que la vulnerabilidad ha sido corregida intentando acceder a archivos sensibles a través de un archivo .htaccess modificado.
Cómo corregirlotraduciendo…
Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.
Preguntas frecuentes
What is CVE-2026-24072 — Escalation de Privilegios en Apache HTTP Server?
CVE-2026-24072 es una vulnerabilidad de escalación de privilegios en Apache HTTP Server que permite a autores de .htaccess leer archivos con los privilegios del usuario httpd, afectando versiones 2.4.0–2.4.66.
Am I affected by CVE-2026-24072 in Apache HTTP Server?
Si está utilizando Apache HTTP Server en las versiones 2.4.0 hasta 2.4.66, es vulnerable a esta vulnerabilidad. Verifique su versión actual con el comando httpd -v.
How do I fix CVE-2026-24072 in Apache HTTP Server?
La solución es actualizar Apache HTTP Server a la versión 2.4.67 o superior. Si la actualización no es posible, restrinja el acceso a archivos .htaccess.
Is CVE-2026-24072 being actively exploited?
Hasta el momento, no se han reportado campañas de explotación activa conocidas para CVE-2026-24072, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Apache HTTP Server advisory for CVE-2026-24072?
Consulte la página de seguridad de Apache HTTP Server para obtener la información oficial: [https://httpd.apache.org/security/](https://httpd.apache.org/security/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...