Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Logo di Apache al centro dell’immagine, composto da una piuma stilizzata con sfumature dal rosso all’arancione e viola, posizionata sopra la scritta “APACHE” in caratteri bianchi maiuscoli. Lo sfondo è scuro, nero e grigio, con una texture composta da pannelli sovrapposti che ricordano tessuti o superfici industriali, creando un’atmosfera tecnica e minimalista legata al mondo dell’infrastruttura software e dei server.

Apache HTTP Server sotto attacco: una falla critica porta ad RCE. Patchare subito

5 Maggio 2026 08:24
In sintesi

Un aggiornamento critico di Apache HTTP Server ha risolto 5 vulnerabilità, tra cui una falla di grave entità che può portare all’esecuzione di codice remoto. Il problema colpisce la versione 2.4.66 e sfrutta HTTP/2. Gli amministratori di sistema devono agire subito con le attività di patching, aggiornando alla 2.4.67 o applicando delle specifiche mitigazioni temporanee per ridurre l’esposizione al rischio.

Apache HTTP Server ha rilasciato la nuova versione 2.4.67 il 4 maggio 2026, correggendo cinque vulnerabilità delle quali una di carattere critico.

Si tratta del bug di sicurezza monitorato con il codice CVE-2026-23918, di grave entità (CVSS 8.8). Il problema nasce da una doppia “deallocazione di memoria” all’interno dell’implementazione di HTTP/2. Questa tipologia di errore permette ad un attaccante di manipolare la memoria heap e deviare l’esecuzione del codice.

In sintesi c’è la possibilità concreta di esecuzione di codice remoto. La vulnerabilità è stata segnalata il 10 dicembre 2025 da Bartlomiej Dmitruk e Stanislaw Strzalkowski mentre la patch di sicurezza è arrivata subito dopo, ma solo ora è distribuita pubblicamente.

Advertising

Le altre vulnerabilità: meno gravi, ma non trascurabili

Accanto al bug principale, ci sono altri 4 cve emesse, La prima, il CVE-2026-24072 riguarda mod_rewrite e l’uso delle espressioni ap_expr. Qui il rischio è un’escalation dei privilegi. Gli utenti locali possono leggere file arbitrari con i permessi del server. Di seguito tutte le CVE emesse nel bollettino di sicurezza.

Codice CVESeveritySintesi
CVE-2026-23918AltaDouble free con rischio RCE
CVE-2026-24072MediaLettura file arbitrari via mod_rewrite
CVE-2026-28780BassaHeap overflow in mod_proxy_ajp
CVE-2026-29168BassaEsaurimento risorse in mod_md
CVE-2026-29169BassaCrash server via puntatore NULL

Tra queste, CVE-2026-28780 introduce un buffer overflow il quale risulta sfruttabile tramite un server AJP malevolo. Si aggiunge il CVE-2026-29168 che consente attacchi di tipo resource exhaustion, e il CVE-2026-29169, il quale può portare a denial of service.

Mitigazioni e verifica: cosa fare subito

La soluzione migliore risulta essere sempre la stessa: aggiornare alla versione 2.4.67. Se l’aggiornamento non è immediatamente possibile:

  • Disabilitare HTTP/2 per mitigare CVE-2026-23918
  • Rimuovere mod_dav_lock se non utilizzato
  • Limitare i permessi nei file .htaccess

Come verificare la versione installata

Gli amministratori possono controllare la versione con il comando:

httpd -v

Advertising

Se il risultato mostra 2.4.66 o inferiore, il sistema è potenzialmente vulnerabile. Attenzione particolare va posta ai moduli attivi. Non basta sapere la versione: serve capire cosa è esposto.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Carolina Vivianti 300x300
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance